HTTP系列---有状态
Cookie、Session 和 Token 的对比
| 特性 | Cookie | Session | Token |
|---|---|---|---|
| 存储位置 | 客户端(浏览器) | 服务器端 | 客户端(LocalStorage、SessionStorage 或 Cookie) |
| 数据存储能力 | 可以存储少量数据(最多 4KB) | 可以存储大量数据 | 数据量有限,适合轻量级信息 |
| 是否需要服务器存储 | 否(仅存储会话标识符 session_id) | 是(存储完整的会话数据) | 否(无状态设计) |
| 安全性 | 较低(容易被窃取或篡改) | 较高(数据存储在服务器端) | 较高(带签名机制,防篡改) |
| 适用场景 | 保存用户偏好、语言设置等 | 管理会话状态、存储复杂数据 | 用户认证、跨域认证、无状态分布式系统 |
| 扩展性 | 不佳(依赖客户端存储) | 较差(需要共享会话存储,如 Redis) | 良好(无状态设计,适合分布式系统) |
| 生命周期管理 | 可设置过期时间 | 由服务器控制会话超时 | 可设置过期时间及刷新机制 |
| 跨域支持 | 不支持(受限于同源策略) | 不支持(受限于同源策略) | 支持(通过携带 Token 实现跨域认证) |
| 是否适合分布式系统 | 不适合(需要同步 Cookie) | 不适合(需要共享会话存储) | 适合(无状态设计,无需共享会话数据) |
| 典型实现 | 浏览器自带功能 | 基于内存、数据库或 Redis 存储会话数据 | JWT(JSON Web Token) |
总结
- Cookie: 主要用于存储少量的客户端数据,不适合复杂的会话管理。
- Session: 适合需要频繁更新会话数据的场景,但需要服务器存储会话数据,扩展性较差。
- Token: 适合无状态的分布式系统和跨域认证,数据量有限但安全性较高。
根据具体需求选择合适的方案:
- 如果需要保存简单的用户偏好,使用 Cookie。
- 如果需要管理复杂的会话状态,使用 Session。
- 如果是分布式系统或需要跨域认证,使用 Token。