web前端面试题@十（cookie、session、token的关系）

浏览器中cookie、session、token存在意义

 http协议是无状态协议，请求之间是没有联系的，cookie、session、token可以帮助服务器区分到底是谁在访问

原理是什么？

cookie工作原理：

客户端第一次访问服务器, 服务器端保存客户的信息并且给客户端一个Cookie, 客户端携带Cookie去访问服务端, 服务端通过携带的Cookie找出该用户信息. 服务端就能够知道是谁访问了。

 保存方式：cookie由服务器生成，保存在客户端浏览器。

缺点：容易被劫持，不安全。

 session工作原理：

 session 从字面上讲，就是会话。服务器要知道当前发请求给自己的是谁。这个就类似于你和一个人交谈，你怎么知道当前和你交谈的是张三而不是李四呢？对方肯定有某种特征（长相等）表明他就是张三。

保存方式：session保存在服务端

缺点：当用户量太大时，占用服务器资源。

优点： 3.较安全

主要说token~:

 token的工作原理：

1.用户通过用户名和密码向服务端发送请求

2.服务端通过验证，生成一个token发送给客户端

3.客户端保存token，发送请求时带上token

4.服务器通过验证，返回数据

token的优势：

1.无状态、可扩展

2.支持移动设备

3.跨程序调用

4.安全

5.Token完全由应用管理，所以它可以避开同源策略Token可以避免 CSRF 攻击Token可以是无状态的，可以在多个服务间共享

三者的区别:

1 Cookie、Session 和 Token 都是用来做持久化处理的，目的就是让客户端和服务端相互认识。Http 请求默认是不持久的没有状态的，谁也不认识谁。

2 Cookie: 是存放在客户端的信息，服务器通过响应头 Set-Cookie 字段给客户端，如果 Cookie 已过期一般是会被清楚的，如果 Cookie 没过期下次访问网站还是会通过请求头的 Cookie 字段带给服务器。

3 Session: 是存放在服务器上面的客户端临时信息，用户离开网站是会被清除的。

4 Token（App）"令牌"：用户身份的验证，有点类似于 Cookie ，相对来说更安全，一般流程：

4.1 客户端向服务端申请 Token

4.2 服务端收到请求，会去验证用户信息，签发一个 Token 给客户端，服务端自己也会保存 Token

4.3 客户端收到服务端签发的 Token 会保存起来，每次请求带上 Token

4.4 服务器收到其他请求，会去验证客户端的 Token , 如果成功返回数据，不成功啥都不给或者做其他处理