HTTP协议是无状态的，每次HTTP请求响应后，就会断开这次连接。如果客户端再次发送请求，服务端也不能识别出这个客户端是不是上次请求过的客户端，HTTP协议不能进行会话跟踪。而Cookie，Session，Token正是为了解决HTTP协议无状态问题。

Cookie

Cookie机制是在客户端实现，采用客户端保持状态的方案。
Cookie由服务端生成，发送给客户端(Set-Cookie)，客户端请求的时候会带上这个Cookie。
请求流程：

请求流程

Cookie字段：名字、值、过期时间、路径和域。路径与域一起构成Cookie的作用范围。
通过Chrome的开发者工具中看到，在github.com上保存在客户端的Cookie信息。

ZqcVOS.png

Name：名字
Value：值
Domain：域
Path：路径
Expaires/Max-Age：过期时间

上图中logged_in和user_session两个Cookie值表示登录github.com后保存下来的登录状态和Session。

Session

Session是在服务端实现，当客户端请求服务端时，服务端会检查请求中是否包含Session标识(Session id)，

如果没有,那么服务端就生成一个随机的Session以及和它匹配的Session id,并将Session id返回给客户端。
如果有,那么服务器就在存储中根据Session id 查找到对应的Session。

Token

Token也称作令牌，由uid+time+sign[+固定参数]组成:

uid：用户唯一身份标识
time：当前时间的时间戳
sign：签名, 使用 hash/encrypt 压缩成定长的十六进制字符串，可以防止恶意第三方拼接Token请求服务器

以下几点特性会让你在程序中使用基于Token的身份验证：

无状态、可扩展
支持移动设备
跨程序调用
安全

Token是有客户端来保存，用户的状态在服务端的内存中是不存储的，所以这是一种无状态的认证机制。而认证的具体流程如下：

客户端使用用户名跟密码请求登录
服务端收到请求，去验证用户名与密码
验证成功后，服务端会签发一个 Token，再把这个 Token 发送给客户端
客户端收到 Token 以后可以把它存储起来，比如放在 Cookie 里或者 Local Storage 里
客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
服务端收到请求，然后去验证客户端请求里面带着的 Token，如果验证成功，就向客户端返回请求的数据

第三方授权登录

这是Token的一种应用场景，使用OAuth实现。
OAuth（开放授权）是一个开放标准，允许用户让第三方应用访问该用户在某一网站上存储的私密的资源（如照片，视频，联系人列表），而无需将用户名和密码提供给第三方应用。
OAuth允许用户提供一个令牌，而不是用户名和密码来访问他们存放在特定服务提供者的数据。
我们看下github的授权流程：

Zq5gJg.png

图片来源：github 授权登录教程与如何设计第三方授权登录的用户表

区别

Cookie和Session

维度	Cookie	Sesson
存放位置	客户端	服务端
存取方式	只能保管ASCII字符串	任何类型的数据
安全性	对客户端是可见的，客户端的一些程序可能会窥探、复制以至修正Cookie中的内容	对客户端是透明的，不存在敏感信息泄露的风险
有效期	可以保持很长时间不过期	依赖于JSESSIONID的Cookie，默许过期时间为–1，只需关闭了浏览器，该Session就会失效
跨域支持	支持跨域名访问	仅在它所在的域名内有效

Token和Session

作为身份认证Token安全性比Session好。
Session是一种HTTP存储机制，目的是为无状态的HTTP提供的持久机制。
Token,如果指的是OAuth Token 或类似的机制的话，提供的是认证和授权 ，认证是针对用户，授权是针对App。

参考

Cookie、Session、Token那点事儿
彻底理解cookie，session，token
精读《图解HTTP》

Android网络编程-Cookie，Session，Token