当前位置：首页 > article >正文

Cookie、Session、Token 详细讲解

article 2026/4/8 4:36:33

Cookie、Session、Token这三个是Web 身份认证、会话管理的核心技术核心围绕「用户登录后怎么证明你是你」展开。先给一个最通俗的比喻Cookie酒店给你的房卡贴纸你自己揣着每次进房间出示Session酒店前台的登记本你只带一个编号前台查本子确认你身份Token酒店给你的盖章通行证自己拿着保安看章就放行不用查本子一、分别详解定义原理特点1. Cookie本质服务器通过响应头Set-Cookie发给浏览器的小型文本数据纯客户端存储。核心原理服务器生成 Cookie → 响应头返回给浏览器浏览器自动保存 Cookie本地文件 / 缓存后续请求同一域名时浏览器自动携带Cookie 到服务器服务器解析 Cookie识别用户关键特点存储位置客户端浏览器大小限制单 Cookie≈4KB单个域名最多 20 个左右生命周期会话 Cookie关闭浏览器即失效持久 Cookie服务器设置max-age/expires到期失效传输方式自动携带无需前端手动处理安全性明文存储可加密易被 XSS/CSRF 攻击状态无状态服务器不保存任何 Cookie 相关数据常用场景记住用户名、购物车、主题偏好、广告追踪等轻量、非敏感数据。2. Session本质服务器端的会话数据基于 Cookie 实现核心依赖SessionID服务端存储。核心原理用户登录成功服务器创建Session存储用户信息用户 ID、权限等生成唯一SessionID通过 Cookie 返回给浏览器后续请求浏览器自动带SessionID的 Cookie服务器通过SessionID查询本地 Session 数据确认用户身份关键特点存储位置服务器端内存、Redis、数据库大小限制无严格限制取决于服务器资源生命周期会话超时 / 关闭浏览器 / 主动登出失效传输方式依赖 Cookie 传递SessionID安全性数据在服务器仅 ID 在客户端比 Cookie 安全状态有状态服务器需要维护所有用户的 Session缺陷分布式 / 集群环境下Session 共享麻烦需 Redis 同步常用场景传统单体 Web 应用的用户登录会话管理。3. Token以 JWT 为例最常用本质加密签名的身份凭证无状态认证服务器不存储会话数据。常见JWTJSON Web Token、OAuth2 Token。核心原理用户登录成功服务器用密钥加密生成 Token包含用户信息过期时间签名Token 返回给前端前端存在LocalStorage/SessionStorage/Cookie后续请求前端手动把 Token 放到请求头Authorization: Bearer xxx服务器验签解密 Token无需查询数据库 / 缓存直接识别用户关键特点存储位置客户端LocalStorage、Cookie、移动端本地大小限制大于 Cookie取决于载荷内容生命周期服务器签发时固定过期时间无法主动作废除非加黑名单传输方式手动携带不自动随请求发送安全性加密签名防篡改CSRF 风险极低XSS 仍需防护状态无状态服务器不存任何会话天然支持分布式优势跨域友好、支持移动端 / 小程序 / 微服务常用场景前后端分离、App / 小程序、分布式微服务、跨域认证。二、核心区别对比表表格维度CookieSessionTokenJWT存储位置客户端浏览器服务器端客户端是否依赖 Cookie本身就是 Cookie依赖 Cookie 传递 SessionID不依赖可存 Cookie / 本地存储服务端状态无状态有状态需维护会话无状态分布式 / 集群支持支持麻烦需 Session 共享天然支持跨域支持受同源策略限制受同源策略限制极佳请求头携带跨域无压力传输方式浏览器自动携带自动携带 SessionID前端手动放入请求头安全性低明文易劫持中数据在服务端高加密签名防篡改性能开销小中服务端存储查询小仅验签无查询数据大小小≈4KB大中等三、关键核心差异总结1. 存储位置决定「谁管数据」Cookie客户端管服务器不管Session服务器管客户端只存 IDToken客户端管服务器只负责验签2. 状态性决定「分布式适配」Session 是有状态服务器必须记住每个用户的会话集群下要同步 Session成本高Cookie/Token 是无状态服务器不记会话随便扩容适配微服务3. 传输方式决定「跨域 CSRF」Cookie 自动携带同源限制严易被 CSRF 攻击Token 手动携带跨域自由CSRF 风险几乎为 04. 安全性排序TokenJWT Session Cookie四、演进关系为什么会从 Cookie→Session→Token早期只用 Cookie直接存用户信息但明文不安全、大小受限改用 Session把敏感数据放服务端只留 ID 在 Cookie解决安全问题出现 Token解决 Session 在分布式、跨域、移动端的痛点无状态更灵活五、适用场景选择用 Cookie存非敏感轻量数据记住账号、购物车、主题用 Session传统单体网站、内网系统无需跨域 / 分布式用 Token前后端分离、App / 小程序、微服务、第三方登录OAuth2六、补充常见误区Session 必须用 Cookie不是也可以通过 URL 拼接 SessionID但极少用不安全。Token 就是 JWT不是Token 是统称JWT 是最常用的实现方式。Token 绝对安全防篡改但怕 XSS 窃取所以建议配合HttpOnly、Secure、SameSite使用。

Cookie、Session、Token 详细讲解

相关文章：

Cookie、Session、Token 详细讲解

如何利用 SEO 优化平台提高网站排名

MacBook安装OpenClaw：M系列芯片运行Kimi-VL-A3B-Thinking优化指南

update_io_latency：为什么你的IO约束会变成负数？

从‘拉风箱’到‘指哪打哪’：VCM音圈马达如何重塑了我们的手机拍照体验？

TypeScript类型体操进阶：复杂场景类型推导实战

吊打默认播放器！PotPlayer封神之路：从安装到精通的终极调教指南，看这一篇就够了。

阿里云新用户专享：手把手教你用CentOS 7搭建《我的世界》PaperSpigot服务器（含端口配置与后台运行）

开始你的「一人公司」

用CS5090E芯片给两节锂电池充电，实测效率90%的完整方案（附立创EDA原理图）

MySQL索引优化+慢查询全解析

侧信道攻击防御指南：从智能家居到云服务器的7个关键防护措施

在WinForms里用OpenTK+SkiaSharp画个会动的波形图（.NET 8环境保姆级教程）

Linux内核开发者笔记：ARMv8平台DMA与Cache一致性的三种解法与避坑指南

Arcgis新手必看：如何用线矢量快速提取tif栅格值并绘制专业剖面线图

用libhv从零搭建一个能跑7万QPS的微型HTTP服务器（附完整源码解析）

搜索引擎优化(SEO)对网站排名有什么影响

Qtile扩展开发终极指南：编写自定义命令和工具的完整教程

OpenClaw+百川2-13B量化模型：个人知识库自动整理方案实测

SpringBoot多数据源事务隔离级别终极指南：动态数据源配置与分布式事务完全解析

颠覆式闲鱼智能客服系统：家居卖家7×24小时值守零门槛解决方案

利用modbus_tcp实现多设备数据聚合：构建高效modbusSlave网关的实践指南

Linux网络驱动实验

HC32F460串口DMA发送中断接收避坑指南：静电干扰、丢字节问题与中断配置详解

C++和OpenGL实现3D游戏编程【连载16】——详解三维坐标转二维屏幕坐标（向量和矩阵操作实战）（附源码）

保姆级教程：在RT-Thread Studio中为AT32F437配置LAN8720以太网（从驱动使能到ifconfig测试）

避免技术债：Agent 代码库的模块化设计与工程规范

数据库死锁的排查：从现象到根因

3步搞定OpenClaw镜像体验：Kimi-VL-A3B-Thinking云端沙盒部署

Le Git Graph终极故障排除指南：15个常见问题解决方案大全