1.Cookie

Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，实际上Cookie是服务器在本地机器上存储的一小段文本，并随着每次请求发送到服务器。

Cookie技术通过请求和响应报文中写入Cookie信息来控制客户端的状态。

Cookie会根据响应报文里的一个叫做Set-Cookie的首部字段信息，通知客户端保存Cookie。当下客户端再向服务端发起请求时，客户端会自动在请求报文中加入Cookie值之后发送出去。

之后服务端发现客户端发送过来的Cookie后，会检查是哪个客户端发送过来的请求，然后对服务器上的记录，最后得到了之前的状态信息。

2.Session

1.客户端把信息放入报文的实体部分，通常是以POST 方法把请求发送给服务器。

2.服务器会发放用以识别用户的Session ID。通过验证从客户端发送过来的信息进行验证，然后把用户的认证状态与Session ID 绑定后记录在服务器端。向客户端返回响应时，会在首部字段Set-Cookie 内写入Session ID（如PHPSESSID=l128ogl…）。你可以把Session ID 想象成一种用以区分不同用户的唯一Id。

3.客户端接收到从服务器端发来的Session ID 后，会将其作为Cookie 保存在本地。下次向服务器发送请求时，浏览器会自动发送Cookie，所以Session ID 也随之发送到服务器。服务器端可通过验证接收到的Session ID 验证状态。

3.Cookie与Session的区别

1.cookie数据存放在客户的浏览器（客户端）上，session数据放在服务器上，但是服务端的session的实现对客户端的cookie有依赖关系的；

2.cookie不是很安全，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，考虑到安全应当使用session；

3.session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能。考虑到减轻服务器性能方面，应当使用COOKIE；

4.单个cookie在客户端的限制是3K，就是说一个站点在客户端存放的COOKIE不能超过3K；

4.Token

token 也称作令牌，由uid+time+sign[+固定参数]，token一般用于登录验证。

token 的认证方式类似于临时的证书签名, 并且是一种服务端无状态的认证方式, 非常适合于 REST API 的场景. 所谓无状态就是服务端并不会保存身份认证相关的数据。

存放

token在客户端一般存放于localStorage，cookie，或sessionStorage中。在服务器一般存于数据库中。

token认证流程

用户登录，成功后服务器返回Token给客户端；

客户端收到数据后保存在客户端；

客户端再次访问服务器，将token放入headers中；

服务器端采用filter过滤器校验。校验成功则返回请求数据，校验失败则返回错误码。