session、cookie、token的区别

简单说：Session是服务器“记”的账，Cookie是浏览器“存”的小纸条，Token是服务器发的“通行证”，三者核心是解决“如何证明你是你”的身份认证问题。

• Session（服务器端）：你登录后，服务器给你建了个专属档案（存用户信息），并给你一张“档案编号”。后续你访问，只需报编号，服务器查档案确认身份。缺点是服务器要存大量档案，压力大。
• Cookie（客户端）：服务器把“档案编号”或少量信息，直接存在你浏览器的“小纸条”里。下次访问时，浏览器自动带上这张纸条，服务器直接读取。缺点是信息存在用户端，有被篡改的风险。
• Token（无状态凭证）：你登录后，服务器用密钥给你“签”一张带有效期的“通行证”（含用户信息），之后你访问时直接带这张证，服务器不用存档案，只需验证“通行证”是否有效即可。适合多服务器、跨平台场景。