Cookie、Session、Token的区别与联系 题目描述 Cookie、Session和Token是Web开发中常用的身份验证和状态管理机制，理解它们的区别与联系对设计安全的用户认证系统至关重要。面试中常被问到三者的工作原理、适用场景及安全性对比。 1. 基本概念与背景 问题背景 ： HTTP协议是无状态的，但实际业务（如用户登录）需要保持用户状态。Cookie、Session、Token是解决这一问题的三种典型方案。 核心区别 ： Cookie ： 客户端存储机制 ，由服务器生成并发送给浏览器，浏览器后续自动在请求头中附带Cookie。 Session ： 服务端存储机制 ，服务器创建SessionID并通过Cookie传递给客户端，实际用户数据存储在服务端。 Token ： 无状态令牌 （如JWT），服务端生成Token后发给客户端，客户端后续请求需手动携带Token，服务端无需存储状态。 2. 工作原理详解 2.1 Cookie的工作流程 服务端响应设置Cookie ： 浏览器自动保存Cookie ，后续请求自动附加： 服务端解析Cookie 获取用户信息。 特点 ： 存储在浏览器，有大小限制（约4KB）。 可设置过期时间（ Expires / Max-Age ）和安全属性（ HttpOnly 、 Secure ）。 2.2 Session的工作流程 用户登录时，服务端创建Session （存储用户数据），并生成唯一SessionID。 通过Set-Cookie将SessionID返回给浏览器 ： 浏览器后续请求携带SessionID ，服务端根据SessionID查询对应用户数据。 关键点 ： Session数据存储在服务端（内存、Redis等），安全性较高。 依赖Cookie传递SessionID，但也可通过URL参数传递（不推荐，不安全）。 2.3 Token的工作流程（以JWT为例） 用户登录后，服务端生成Token （包含用户信息、签名、过期时间等）。 Token返回给客户端 （通常通过响应体，而非Cookie）。 客户端手动存储Token （如localStorage），后续请求在Header中携带： 服务端验证Token签名 并解析数据，无需存储状态。 Token的优势 ： 无状态：服务端无需存储会话数据，适合分布式系统。 跨域支持：可轻松用于多个服务或第三方授权（OAuth）。 3. 三者的对比与选择 | 特性 | Cookie | Session | Token | |------|--------|---------|-------| | 存储位置 | 客户端 | 服务端 | 客户端（通常为localStorage） | | 安全性 | 较低（易被XSS窃取） | 较高（数据在服务端） | 依赖存储方式（XSS风险） | | 扩展性 | 受域名限制 | 需共享Session存储（如Redis） | 天然支持分布式 | | CSRF防护 | 需额外措施（SameSite属性） | 同Cookie | 不受影响（需手动携带） | 如何选择 ： 需兼容老系统或简单状态管理 → Cookie + Session 。 分布式/微服务架构 → Token （如JWT）。 高安全性场景 → Session（服务端控制） + Token短期过期。 4. 安全注意事项 Cookie安全 ： 设置 HttpOnly 防止XSS窃取。 设置 Secure 保证仅HTTPS传输。 使用 SameSite=Strict 缓解CSRF。 Session安全 ： SessionID需随机生成，防止爆破。 服务端设置Session过期时间。 Token安全 ： 避免在Cookie中存储Token（失去无状态优势）。 使用HTTPS防止中间人攻击。 Token设置短期过期，结合Refresh Token续期。 5. 总结 Cookie 是HTTP状态管理的基石，但需注意安全和大小限制。 Session 将状态存储于服务端，适合传统单体应用。 Token 解耦服务端状态，适合现代分布式架构。 实际开发中可根据业务需求组合使用，例如OAuth2.0协议即结合了Token与Session的特性。