@1:session+cookie 和 token有什么区别？

cookie与session的区别：

1. Cookie数据存放在客户机，而session存放在服务器；

2. Cookie并不安全，容易被修改，session则安全很多；

3. 单个cookie存放不能超过4k，一个站点最多保存20条，而session可以存放很多；

4. Cookie对于性能损耗比较低，而session会占用更多的服务器性能。

Token和Session的区别：

Session和 token并不矛盾，作为身份认证token安全性比Session好，因为每个请求都有签名还能防止监听以及重放攻击，而Session就必须靠链路层来保障通讯安全了。所谓Session 认证只是简单的把User 信息存储到Session 里，因为SID 的不可预测性，暂且认为是安全的。这是一种认证手段。

Token ，如果指的是OAuth Token 或类似的机制的话，提供的是 认证 和 授权 ，认证是针对用户，授权是针对App 。其目的是让 某App有权利访问 某用户 的信息。这里的 Token是唯一的。不可以转移到其它 App上，也不可以转到其它用户上。

@2: 浏览器是如何记录用户登陆状态的？