Token与session的区别

一、什么是token？

在计算机身份认证中是令牌（临时)的意思，在词法分析中是标记的意思。一般作为邀请、登录系

统使用。

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌,当第一次登录后,服务器生成

一个Toke n便将此Token返回给客户端,以后客户端只需带上这个Token前来请求数据即可,无需再次

带上用户名和密码。

二、什么是session？

服务器为了保存用户状态而创建的一个特殊的对象。

当浏览器第一次访问服务器时，服务器创建一个session对象(该对象有一个唯一的id,一般称之为

sessionId),服务器会将sessionId以cookie的方式发送给浏览器。

当浏览器再次访问服务器时，会将sessionId发送过来，服务器依据sessionId就可以找到对应的

session对象。

三、token与session的区别?

1. token和session其实都是为了身份验证，session一般翻译为会话，而token更多的时候是翻译为

令牌;

1. session在服务器端会保存一份，可能保存到缓存、文件或数据库；

2. session和token都是有过期时间一说，都需要去管理过期时间；

3. token的思想是算法验证，session的思想是信息存储对比。 token是有多种方案的，可以设计成

无需存储，token同时也是跨域的，session是要存储的，存储在数据库的思想；

5)其实token与session的问题是一种时间与空间的博弈问题，session是空间换时间，而tbken是时

间换空间。两者的选择要看具体情况而定；

6)虽然确实都是“客户端记录，每次访问携带”，但 token 很容易设计为自包含的，也就是说，后端

不需要记录什么东西，每次一个无状态请求，每次解密验证，每次当场得出合法 /非法的结论。