1 先来了解cookie与localstorage

1.1 http的无状态

用户: 我想看csdn我有多少粉丝了(http请求)

服务器:你是？请告诉我你的名字和密码，我确认你是谁

用户：发起登录请求 admin 123456

服务器：ok，登录成功

用户：我要看我cdsn有多少粉丝，发起请求

服务器：请告诉我你的名字和密码。

用户：？

旁白：这就是http的无状态的特征，不会记得之前的请求内容，所以不会记得你已经登录过，这就是cookie的由来，每次http请求都会携带cookie中的内容

用户： 我已经将之后的http请求设置cookie为username:admin password，现在每次请求都会自动带上cookie里面的信息，发起请求

服务器：好的，用户admin，已经帮你跳转到对应页面

黑客：好啊，我只要拿到存在用户浏览器里面的cookie就能知道密码了。

旁白 存在浏览器端的cookie相较而言更容易被获取，不安全，于是有了session

session

旁白： session就是会话的意思，将某些重要内容放在服务器端，保证安全性

用户： 发起登录请求

服务器： 我将你发过来的用户名和密码存在我这(session)了，给你一个sessionId，你放在cookie中

用户：cookie是存在浏览器端的，所以我能看到sessionId是什么，但是我不能看到我登录的密码了，这样好。现在我想要看粉丝数，发起http请求，http请求自带cookie，也就是sessionId

服务器： 我从sessionId找到了我之前存放的token，知道你是谁了，现在就给你对应的粉丝数量的信息。

黑客：我又来了，我获取到cookie里面的sessionId了，我可以伪装成你，但是我获取不到密码了， 密码在服务器那里。

很多用户： 我登录了。

服务器： 太多用户登录了，有点占用内存，而且有的用户很久都没有使用过了，存在我这太浪费了，所以我要设置一个时间，哪个session太久没有使用过了，就给清除掉。一直在使用session就一直存在。

用户：怎么速度变慢了

服务器： 查找session需要时间的。

旁白： session的缺点就是占用服务器内存和查找时的损耗，而且被人拿到之后能够被人用很长一段时间

token

服务器： 不要再把登录状态存在我这了，我们用token吧

用户：登录！

服务器：将用户名和密码等加密，再加上截止时间，我的数字签名等，再加密成字符串，放在浏览器的cookie里面

用户：token已经存放在我的cookie里面了，发起请求

服务器：解密cookie中的token，我知道你是谁了。

黑客：我拿到cookie里的token了，但是很快就用不了了，它的截止时间不会随着你使用而变化，就算一直用也会失效。

https

用户：我的cookie这么好拿的？怎么这么不安全。

网站：基本上是拿不到的，而且技术太成熟了，比如https技术，现在用户你和服务器的通信都是加密的，就算黑客拿到也很难解密，更别说基本拿不到，除非我身上有明显漏洞。

用户：这么说其实我吧用户名存在cookie里面也没啥？

网站：只要我够完善，就很难在网络上获取，但是容易在网络之外获取，比如网吧里，而且被获取了后果很严重哦。

用户： 好吧，还是token好用。