web身份验证与会话维持（session、token）

0. cookie现今的角色主要是作为浏览器存储方案的一种。cookie可用于浏览器本地记住密码的服务。
1. session：
   （1）浏览器存储session_id(加密)，服务器存储用户登录状态的明细表。发送请求时会携带该session_id，在服务器通过验证后可获取用户当前登录状态。
   （2）对于支持cookie的浏览器，session_id一般存储在cookie中，发送请求时随cookie发送；对于不支持cookie的浏览器，session_id会使用URL重写技术将session_id组合到URL中：http://www.test.com/test;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 或者表单隐藏技术：<form name="testform" action="/xxx"> <input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764″> <input type="text"> </form>
   （3）缺点：在服务器维护用户的登录状态增大了服务器的存储压力；服务器在做水平拓展进行负载均衡时，浏览器请求需要发送到含有相应session的服务器上。
2. token：
   （1）对session的优化，解决服务器水平拓展问题。
   （2）安全性更高。token一般记录在浏览器的WebStorage（sessionStorage或localStorage）中，请求时携带在header中。在header中携带token（而不使用cookie）可以有效防止CSRF攻击
   （3）token是无状态的，在服务器通过对token进行解密后可以直接获取token对应的user_id以及其登录状态。

彻底理解cookie, session, token