cookie、session与token之间的关系

Cookie、Session和Token机制在Web应用中主要用于验证用户的身份信息。通过这些机制，服务器能够确定请求是否来自已经登录的合法用户，并根据用户的身份进行相应的操作和授权。

具体来说：

- Cookie和Session：Cookie和Session通常是结合使用的，在用户成功登录后，服务器会创建一个唯一的SessionID，并将其与用户的会话数据相关联。服务器会将这个SessionID存储在用户浏览器的Cookie中（通常名为session_id），或通过其他方式将其传递给浏览器。在后续的请求中，浏览器会自动携带此Cookie，将SessionID发送回服务器。服务器通过验证SessionID来确认用户的身份。

- Token：在登录过程中，服务器生成一个包含用户信息的Token，并将其返回给客户端。客户端将Token存储在本地，如LocalStorage或内存中。在每个请求中，客户端需要将Token加入请求头或其他方式进行携带。服务器通过验证Token的有效性和正确性来确认用户的身份。

1. Cookie：
- Cookie是存储在用户浏览器中的小型文本文件，由服务器发送给浏览器，并在后续请求中自动携带回服务器。（约4KB）
- 服务器可以将一个包含用户信息或标识的Cookie发送给浏览器，用于实现一些状态的持久化，比如用户登录状态、购物车内容等。
- 浏览器会自动保存这些Cookie，并在每次请求时将其自动附加到请求头中，从而使服务器能够识别和跟踪用户。（不支持跨域）

2. Session：
- Session是一种在服务器端存储用户会话状态的机制。
- 当用户首次访问服务器时，服务器会为该用户创建一个唯一的SessionID，并将其存储在用户的浏览器中的Cookie中（或通过其他方式进行传递，比如URL参数）。
- 服务器以SessionID为索引，在服务器端保存相关的会话数据，例如用户的身份认证状态、权限信息等。
- 在后续的请求中，浏览器会自动将SessionID附加到请求头中发送给服务器，服务器通过SessionID识别用户，并在服务器端读取或修改相应的会话数据。

3. Token：
- Token是一种无状态的身份验证机制。
- 在用户登录成功后，服务器会生成一个Token并返回给客户端（通常是以JWT（JSON Web Token）格式返回）。
- 客户端将Token存储在本地（如LocalStorage、SessionStorage或内存中），然后在每个请求中通过请求头或其他方式携带Token来进行身份验证。
- 服务器通过解析和验证Token的内容来确认用户的身份和权限。（支持跨域）