session和token

1.相同点：session和token都是登录校验的一种实现方式

2.session和token的差别

session校验流程：

1）提交用户名和密码；

2）后端验证通过，服务器保存用户登录信息，并将sessionID响应给客户端；

3）登录后每次请求将携带cookie服务器提取cookie中的sessionid和后端保存的信息进行比对；

session测试点：

1）功能测试：需要用到cookie，很多浏览器禁用cookie

2）性能测试：session保存位置（服务器）

session核心区别点：

1）服务器需要保存登录信息

2）大部分web采用该机制

token校验流程：

1）提交用户名和密码

2）后端验证通过后生产令牌（特殊的字符串）响应给客户端(一般服务器不存储任何登录记录；不限于cookie、响应体；客户端客户端通常需要执行保存，前端人员自己想办法)

3）登录后的每次请求将携带token服务器检查token合法性（由特定规则算法生成；后端最常见）

token核心区别点：

1）不需要存储登录信息在服务器

2）app比较常用

token测试点

1）本身自带防伪标注，由客户端保存

2）其他软件窃取

3）安全性测试