存储位置

三者都是应用在web中对http无状态协议的补充，达到状态保持的目的

cookie：cookie中的信息是以键值对的形式储存在浏览器中，而且在浏览器中可以直接看到数据。下图为safari的cookie截图：

cookie

session：session存储在服务器中，而后发送一个cookie存储在浏览器中，cookie中存储的是session_id，之后每次请求服务器通过session_id可以获取对应的session信息

JWT：JWT存储在浏览器的storage或者者cookie中。由服务器产生加密的json数据包括：header，payload和signature三部分组成。header中通常来说由token的生成算法和类型组成；payload中则用来保存相关的状态信息；signature部分由header，payload，secret_key三部分加密生成。
注意，不要在JWT的payload或者header中放置敏感信息，除非它们是加密的。下图为官网的截图：

JWT

优缺点

cookie:

• 优点：

1. 结构简单。cookie是一种基于文本的轻量结构，包含简单的键值对。
2. 数据持久。尽管用户端计算机上cookie的持续时间取决于用户端上的cookie过期解决和客户干预，cookie通常是用户端上持续时间最长的数据保留形式。

• 缺点：

1. 大小受到限制。大多数浏览器对 cookie 的大小有 4096 字节的限制，虽然在当今新的浏览器和用户端设施版本中，支持 8192 字节的 cookie 大小已愈发常见。
2. 非常不安全。cookie将数据裸露在浏览器中，这样大大增大了数据被盗取的风险，所有我们不应该将中要的数据放在cookie中，或者者将数据加密解决。
3. 容易被csrf攻击。可以设置csrf_token来避免攻击。

session：

• 优点：

1. session的信息存储在服务端，相比于cookie就在肯定程度上加大了数据的安全性；相比于jwt方便进行管理，也就是说当客户登录和主动注销，只要要增加删除对应的session即可以，这样管理起来很方便。

• 缺点：

1. session存储在服务端，这就增大了服务器的开销，当客户多的情况下，服务器性能会大大降低。
2. 由于是基于cookie来进行客户识别的, cookie假如被截获，客户就会很容易受到跨站请求伪造的攻击。
3. 客户认证之后，服务端做认证记录，假如认证的记录被保存在内存中的话，这意味着客户下次请求还必需要请求在这台服务器上,这样才能拿到受权的资源，这样在分布式的应用上，会限制负载均衡和集群水平拓展的能力。

JWT：

• 优点：

1. 由于json的通用性，jwt可以支持跨语言请求，像JAVA,JavaScript,PHP等很多语言都可以使用。
2. 由于有了payload部分，所以JWT可以在自身存储少量其余业务逻辑所必要的非敏感信息。
3. 便于传输，JWT的构成非常简单，字节占用很小，所以它是非常便于传输的。
4. 不需要在服务端保存会话信息, 利于服务器横向拓展。

• 缺点：

1. 登录状态信息续签问题。比方设置token的有效期为一个小时，那么一个小时后，假如客户依然在这个web应用上，这个时候当然不能指望客户再登录一次。目前可用的处理办法是在每次客户发出请求都返回一个新的token，前台再用这个新的token来替代旧的，这样每一次请求都会刷新token的有效期。但是这样，需要频繁的生成token。另外一种方案是判断还有多久这个token会过期，在token快要过期时，返回一个新的token。
2. 客户主动注销。JWT并不支持客户主动退出登录，用户端在别处使用token依然可以正常访问。为了支持注销，我的处理方案是在注销时将该token加入到服务器的redis黑名单中。

JWT与OAuth的区别

这两个概念总有人用混淆，所以一起详情了。

OAuth2是一种受权框架，用在使用第三方账号登录的情况（比方使用weibo, qq, github登录某个app）
JWT是一种认证协议，用在前后台分离，需要简单的对后端API进行保护时使用。

无论使用哪种方式切记用HTTPS来保证数据的安全性；

哎呀，假如我的名片丢了。微信搜索“全菜工程师小辉”，仍然可以找到我