项目vue+springboot

1、token

用户填写密码账号发送至后端，由后端生成token，返回给前端，前端把它存放起来，如放在cookie或者localStorage里面

前端向服务器发起请求时在请求头携带token，判断用户身份给与反应。

//后端验证token
public class JwtInterceptor implements HandlerInterceptor {@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//如果不是映射到方法直接通过if (!(handler instanceof HandlerMethod)) {return true;}//从 http 请求头中取出 tokenString token = request.getHeader("Authorization");if (token == null) {throw new RuntimeException("无 token ，请重新登陆");}//验证 tokenJwtUtil.checkSign(token);//验证通过后， 这里测试取出JWT中存放的数据//获取 token 中的 userIdString salt = JwtUtil.getSalt(token);String phone = JwtUtil.getPhone(token);String password = JwtUtil.getPassword(token);System.out.println("我是JWTInter-"+password+"==="+phone);//获取 token 中的其他数据return true;}
}

2、cookie

Cookie可以弥补HTTP协议无状态的不足，在Session出现之前，基本上所有的网站都采用Cookie来跟踪会话，比如百度搜索也是设置了cookie
在浏览器地址栏输入javascript:alert (document. cookie)就可以查看某个网站颁发的Cookie，JavaScript脚本会弹出一个对话框显示本网站颁发的所有Cookie的内容

（1）客户端发送登录请求，后端set-cookie返回给客户端，Cookie实际上是一小段的文本信息，客户端收到带有cookie的请求后，那么下次浏览器就会在请求头自动携带cookie
（2）服务端接收客户端之后的请求，验证cookie来判断

session可以cookie一起使用的
token可以和cookie一起使用，存放在cookie中

 public String setCookies(HttpServletResponse response){//HttpServerletRequest 装请求信息类//HttpServerletRespionse 装相应信息的类Cookie cookie=new Cookie("sessionId","CookieTestInfo");response.addCookie(cookie);return "添加cookies信息成功";}

3、session

客户端发送登录请求，服务端创建session，并保存起来（可以保存在内存、数据库、NoSQL中)，并将session的唯一标识设置在cookie中返回给客户端

//登录时，将userId存入session中session.setAttribute("userId", user.getUserId());

@Overridepublic boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {//获取到session信息HttpSession session = request.getSession();Integer userId = (Integer) session.getAttribute("userId");if (userId == null) {//登录信息不存在，请重新登录return false;}return true;}

区别
1、cookie、token由服务器生成，保存在客户端，session存储在服务端
2、单个cookie保存的数据不能超过4K，很多浏览器都限制一个站点最多保存20个cookie，session存储大小无限制，token体积很小
3、cookie不是很安全， 别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session
4、session会在一定时间内保存在服务器上。当访问增多，就会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie
5、cookie不能跨浏览器，不支持跨域访问，不支持手机端方案。token允许跨域访问
6、生命周期：
cookie默认在会话结束后直接销毁，cookie可以设置过期时间。
session也有过期时间的概念，默认为30分钟，可以通过tomcat、web.xml等方式进行配置。
token无法主动过期，只能等待它达到过期时间后才会失效。