目的：了解cookie和session区别，并且了解app端为什么不用cookie、session，而用token。

一、了解cookie和session区别

我们在请求头中经常会见到如下的部分：

Cookie: ZC8sid=m5PMgK; AJSTAT_ok_pages=5; AJSTAT_ok_times=1;ZC8cookietime=2592000;ZC8_auth=e558Bn9amQVa818V1epYBenUnNCUXW7vdUc3XZdMLRsVI26O40Bd5CqE%2F4Oj47WW245X04JeCjpyiUxBDwBpiJEfI0dxow;checkpm=1; supe_cookietime=2592000;supe_loginuser=wg101523413;supe_activationauth=9f6dNKMyRfxDJ82LeRptq1GkxzAzGTsCTAcF9B6DTI94uxzoK%2FOo2A

在响应头中也经常看到set-cookie，那那么cookie是干嘛用的呢？和session的区别在哪儿呢？

通过图解http书中两张图学习一下：

Session是在服务端保存的一个数据结构，用来跟踪用户的状态，这个数据可以保存在集群、数据库、文件中；Cookie是客户端保存用户信息的一种机制，用来记录用户的一些信息，也是实现Session的一种方式。

从这两张图可以看出，cookie分为setCookie和Cookie，前者为响应头字段，后者为请求头字段；而请求头和响应头均包含Session ID，响应头包含的Session ID字段是为了记录用户认证状态，请求头中Session ID是方便服务端来判断客户端是否为真实的用户。接下来我们详细看下两者的区别：

1.session在服务器端，cookie在客户端（浏览器）

2.session默认被存在在服务器的一个文件里（不是内存）

3.session的运行依赖session id，而session id 是存在cookie 中的，也就是说，如果浏览器禁用了cookie ，同时session 也会失效（但是可以通过其它方式实现，比如在 url 中传递 session_id）

4.用户验证这种场合一般会用session

因此，维持一个会话的核心就是客户端的唯一标识，即session id ；cookie目的可以跟踪会话，也可以保存用户喜好或者保存用户名密码；session用来跟踪会话。

二、为什么app端为什么不用cookie、session，而用token

那么app中为什么很少看到用cookie或session，而要用token呢？这三者有什么区别呢？

首先了解下REST，即Representational State Transfer的缩写。我对这个词组的翻译是"表现层状态转化"。 简单来说，RESTful API 是基于HTTP协议产生的一种相对简单的API设计方案，属于无状态传输。RESTful 的核心是 everything is a “resource”，所有的HTTP action，都应该是相应resource上可以被操作和处理的，而API 就是对资源的管理操作，而这个具体操作是由 HTTP action 指定的。

App通常用restful API跟server打交道。Rest是stateless的，也就是app不需要像browser那样用cookie来保存session,因此用session token来标示自己就够了，session/state由API server的逻辑处理。

如果你的后端不是stateless的rest API, 那么你可能需要在app里保存session，可以在app里嵌入webkit,用一个隐藏的browser来管理cookie session.

session 和 oauth token 并不矛盾，作为身份认证token安全性比session好，因为每个请求都有签名sign（Sign怎么生成的：将所有用户请求的参数按照字母排序（包括timestamp，token），然后根据MD5加密（可以加点盐），生成sign签名，这就是所说的url签名算法。），所以token+sign还能防止监听以及重放攻击，而session就必须靠链路层来保障通讯安全了。

参考资料：《图解HTTP》——[日]上野 宣