关于token和cookie的一些想法

好文推荐

1、单点登录原理与简单实现

2、请停止使用 JWT 认证

网上很多人将token和cookie放在一起作比较，其实这是有问题的，token是作为认证和授权用的，而cookie则是客户端存储的方案，正确的比较应该是token与session的对比，以及cookie与local\session storage的对比。

token与session

从身份认证的角度上来看，两者是走的不一样的机制。

1、session机制通过在服务端维持会话状态，并将会话id存储到客户端cookie中，来达到识别用户状态的目的。

好处是方便，拿来即用。

但是问题也是存在的 。比如说当维持多个会话状态时，服务端的负载就有点大了。还有就是依赖于cookie，那么cookie存在的问题，在这里也存在。

2、token机制是通过验证签名方式来识别用户状态的，服务端需要做的工作是token的签署与验证，不需要维持会话状态，也就是说基于token方式的验证是无状态的，也不依赖于cookie。

cookie与local\session storage

这两者都是客户端存储方案，但也有着很大的不同。

1、用cookie来存储会话id的时候，设置httponly可以用来程度防御xss攻击，但却不能躲开xsrf攻击，必须借助其他方式，比如referer或者加一个随机数。

可以通过绑定到顶级域名的方式来实现多个子系统共享cookie，但是这种方式不够优雅，灵活性低。

2、local\session storage用来存储的时候，优点是容量大，而且增大xsrf攻击的难度，但是却不能抵御xss攻击，安全性问题严重。