Cookie

• 定义：客户端存储的小块数据，用于记住用户信息。
• 特点：
  • 随HTTP请求发送给服务器。
  • 可设置过期时间。
  • 存储容量有限，约4KB。

Session

• 定义：服务器端存储的会话状态记录。
• 特点：
  • 与会话ID关联，通常通过Cookie发送给客户端。
  • 可存储更多信息，包括敏感信息。

Token

• 定义：无状态认证的安全令牌。
• 特点：
  • 客户端持有，用于请求认证。
  • 不要求服务器跟踪状态。

JWT (JSON Web Tokens)

• 定义：基于JSON的轻量级认证机制。
• 特点：
  • 包含头部、负载和签名。
  • 自包含所有验证信息。

二、安全性与跨域支持

安全性

• Cookie：较低，易被窃取或篡改。
• Session：较高，数据不在客户端暴露。
• Token/JWT：较高，特别是JWT包含签名。

跨域支持

• Cookie：默认不支持，可通过设置实现。
• Session：不支持，依赖Cookie。
• Token/JWT：支持，不依赖Cookie。

三、实战应用与Spring Boot 示例

Spring Boot 示例

• 设置Cookie：通过Set-Cookie头部设置。
• 设置Session：通过getSession方法设置。
• 生成Token：使用JWT库生成。

安全措施

• 使用HTTPS。
• 密钥管理，不硬编码，使用专业系统。
• 防止CSRF攻击，使用POST请求和CSRF令牌。

四、最佳实践与安全措施

添加依赖项

• Spring Security和JWT依赖项添加到pom.xml。

JWT工具类

• 生成和验证JWT的方法。

控制器

• 处理登录请求，生成JWT。

Spring Security配置

• 配置使用JWT进行认证。

其他安全措施

• 定期更新框架和库。
• 实施输入验证和输出编码。
• 限制密码尝试次数，防止暴力破解。

五、适用场景

• Cookie：简单会话跟踪，用户偏好设置。
• Session：需要服务器记住用户状态的场景。
• Token：移动应用、API身份验证、跨域请求。
• JWT：Web应用、移动应用、单点登录。

六、总结

• Cookie和Session是传统的会话管理机制。
• Token和JWT提供更灵活和安全的身份验证和授权机制，适用于分布式系统。
• JWT作为Token的一种实现，具有高可移植性和可扩展性。