本文的参考：https://zhuanlan.zhihu.com/p/164696755

很久很久以前，Web 基本上就是文档的浏览而已， 既然是浏览，作为服务器， 不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的HTTP协议， 就是请求加响应， 尤其是我不用记住是谁刚刚发了HTTP请求， 每个请求对我来说都是全新的。这段时间很嗨皮

但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理会话，必须记住哪些人登录系统， 哪些人往自己的购物车中放商品， 也就是说我必须把每个人区分开，这就是一个不小的挑战，因为HTTP请求是无状态的，所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串，每个人收到的都不一样， 每次大家向我发起HTTP请求的时候，把这个字符串给一并捎过来， 这样我就能区分开谁是谁了

所以cookie，session，token在这个背景下就出现的，cookie，session，token出现就是为了解决http请求无状态和无用户认证的问题。

上面我们介绍了cookie，session，token的出现的背景,那么这个时候我们就会有这个问题，这三个到底有什么作用和区别呢。这里我们先来介绍什么是session。

在网上很多关于session的介绍和解释都是太片面和太官方了。

这里我们要讲的就是，session 是一个抽象概念，是一种方法，并不是具体的某一个东西。很多协议中都会有Session的概念，比如PPPoE（基于以太网的点对点通讯协议）。能实现session这个概率功能的我们都把他们称为session。那么session这个概率到底是要实现什么功能呢？

开发者为了实现中断和继续等操作，将 user agent 和 server 之间一对一的交互，抽象为“会话”，进而衍生出“会话状态”，也就是 session 的概念。

通俗点讲就是为了保存用户和服务之间的一种会话状态的一种概念。这个概念目前在http协议中应用较为广泛。

session 从字面上讲，就是会话。这个就类似于你和一个人交谈，你怎么知道当前和你交谈的是张三而不是李四呢？对方肯定有某种特征（长相等）表明他就是张三。

session 也是类似的道理，服务器要知道当前发请求给自己的是谁。为了做这种区分，服务器就要给每个客户端分配不同的“身份标识”，然后客户端每次向服务器发请求的时候，都带上这个“身份标识”，服务器就知道这个请求来自于谁了。至于客户端怎么保存这个“身份标识”，可以有很多种方式，对于浏览器客户端，大家都默认采用 cookie 的方式。

服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁。这种用户信息存储方式相对cookie来说更安全，可是session有一个缺陷：如果web服务器做了负载均衡，那么下一个操作请求到了另一台服务器的时候session会丢失。

根据以上流程可知，SessionID 是连接 Cookie 和 Session 的一道桥梁，大部分系统也是根据此原理来验证用户登录状态。

cookie主要用于以下三个方面：

1.会话状态管理（如用户登录状态，购物车，游戏分数或其它需要记录的信息）

2.个性化设置（如用户自定义设置，主题等）

3.浏览器行为跟踪（如跟踪分析用户行为等）

cookie曾一度用于客户端数据的存储，因当时并没有其它合适的存储办法而作为唯一的存储手段，但现在随着现代浏览器开始支持各种各样的存储方式，cookie渐渐被淘汰。由于服务器指定cookie后，浏览器每次请求都会携带cookie数据，会带来额外的性能开销（尤其是在移动环境下）。新的浏览器API已经允许开发者直接将数据存储到本地，如使用Web storage API （本地存储和会话存储）或IndexdDB。