session、cookie和taken的区别

http是无状态的协议，所以要维持应用的会话形式，就需要加入以下几种机制，来进行会话跟踪，识别用户身份（当同一用户进行多次操作，不用反复请求建立新的连接，从而节省服务器资源和处理速度）

	生成位置	存储方式	验证原理	特点
cookie （记录用户身份）	服务器	在客户端浏览器内以文件形式存储（键值对name=value） 常见包括name（cookie名称）、path（对于服务器其他页面的可用性）、domain（顾名思义，同域内的其他服务器共享可用性）、secure（该属性若未出现，这意味着cookie在网络中未加密传输；secure属性并不能对Cookie内容加密，因而不能保证绝对的安全性。如果需要高安全性，需要在程序中对Cookie内容加密、解密，以防泄密。）	1.用户通过用户名和密码 发送请求 2.服务器生成cookie（服务器针对客户端状态的一小段文本信息）并在响应头中返回 3.在之后的请求中携带cookie，服务器进行检查（如前所示，这些信息都可被篡改和截取）	1.安全性较差，攻击者可截取cookie进行目标权限的操作 2.需要浏览器支持 3.不可跨域
session （记录用户状态）	服务器	服务器 redis数据库、file（php）、内存（tomcat）中。存储形式为hash（key-field-value）；包括sessionid（为随机生成字符串）该id会写入cookie中发至客户端。 同时Session需要使用Cookie作为识别标志，因为Session不能依据HTTP连接来判断是否为同一客户	1.用户通过用户名和密码 发送请求 2.服务器生成session（包括sessionid、sessionid对应的key值）存储在服务器中，之后发送cookie（值为sessionid）在响应头中返回 3.在之后的请求中携带cookie（sessionid），服务器进行检查（根据sessionid来查找目标session，比对是否一致）	拓展性较差（若服务器存在负载均衡，session只存在了其中某台）
token	服务器	客户端、服务器（只保存未到期却注销的token，以便下次收到使用这个token时判其无效） 一般包括uid（用户唯一的身份表示）、time（时间戳）、sign（签名、密钥等）、URL（请求的路径）	1.用户通过用户名和密码 发送请求 2.服务器进行验证（用户合法性） 3.服务器签发一个签名的token（生成过程可参考对称加密）给客户端 4.客户端存储并在每次发送请求携带该token 5.服务器通过特定的加密算法对token进行过滤选择（比如HMAC） 6.校验通过返回增删改查数据；校验未通过返回错误码	1.无状态、可拓展（因为token并） 2.相对安全（可防止CSRF攻击） 3.可拓展性强（可分享权限给第三方应用） 4.多平台跨域（完全由应用管理） 5.基于标准化

假设一个场景，有一栋大楼有门禁。

cookie机制：只要你带通行证不管你是谁都可以进来,只认通信证，cookie在这里是通行证。

session机制：要报你的门牌号户主姓名电话号码，大楼门卫在信息表里找到对应的就会放行。session在这里是信息表里的门牌号户主姓名电话号码。

token机制：检验通行证，同时需要对暗号“天王盖地虎”---“宝塔镇河妖”，暗号错一个字都不行。token在这里就是通行证和暗号。

如有纰漏望不吝赐教！