三者核心是身份认证/状态保持的不同实现方式,核心区别在存储位置、安全性和扩展性上:
Cookie:存储在客户端浏览器,体积小(约4KB),可设置过期时间,常用于记录用户偏好(如记住登录状态14天),但易被篡改,安全性较低。
Session:数据存储在服务器,客户端仅存一个“session ID”(通常放在Cookie里),安全性高,但服务器压力大,且不适合分布式系统(多服务器间难共享session数据)。
Token:无状态的“身份令牌”,由服务器生成后发给客户端(可存在Cookie、LocalStorage等),客户端每次请求携带Token,服务器验证即可,支持跨域和分布式系统,是目前前后端分离、App开发的主流方案。