token代替session_token和session哪个安全

1、其实token和session不是同一个领域的概念token是一个字符串，而session是指一个会话，两者既不冲突又不可互相替代这里所说的大概是指token和session id通常存在cookie中的区别Token本身由oauth系列引入后才大规模普及的主要目的是支持SSO，也就是单点登录，这是oauth系列最主要的需求当然。

2、session是属于cookie的在APP下使用Token更加方便而且考虑到授权传递的话，维护Cookie就同时麻烦了两边了App通常用restful api跟server打交道Rest是stateless的，也就是app不需要像browser那样用cookie来保存session， 因此用session token来标示自己就够了，sessionstate由api server的逻辑处理如果你的后。

3、Session的状态是存储在服务器端，客户端只有session id而Token的状态是存储在客户端其它细枝末节的区别，全部是由这一点造成的Session 是一种。

4、session的中文翻译是“会话”，当用户打开某个web应用时，便与web服务器产生一次session服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁token的意思是“令牌”，是用户身份的验证方式，最简单的token组成uid用户唯一的身份标识time当前时间的时间戳sign签名。

5、而token一般指翻译成令牌，一般是用于验证表明身份的数据或是别的口令数据可以用url传参，也可以用post提交，也可以夹在。

6、session和token都是用来保持会话，功能相同session是服务端存储的一个对象，主要用来存储所有访问过该服务端的客户端的用户信息也可以存储其他信息，从而实现保持用户会话状态但是服务器重启时，内存会被销毁，存储的用户信息也就消失了token适用于项目级的前后端分离前后端代码运行在不同的服务器。

7、区别在于登出是指客户端主动退出登录状态容易想到的方案是，客户端登录成功后， 服务器为其分配sessionId， 客户端随后每次请求资源时都带上sessionId服务器判断用户是否登录， 完全依赖于sessionId， 一旦其被截获， 黑客就能够模拟出用户的请求于是我们需要引入token的概念 用户登录成功后， 服务。

8、cookie，session都可以是token存储的一种方式cookie为存储在本地的数据，请求时会将该数据提交到服务器验证使用session为存储在服务器上的内存数据，只要会话没有中断，那么该数据持续有效toke通常上来说属于令牌，cookie，session为一种数据存储和使用方式，令牌可以存储在cookie，session，但是实际上通过。

9、SESSION 是服务器通过 KeyValue 对来保存数据的一种机制，比如 APP 的登录状态可以用 SESSION 来保存TOKEN 翻译过来叫令牌，令牌是什么意思可以拿现实中的令牌对比，现实中的令牌起到通行证的作用，而这在服务端也是一样的我们在登录后，服务端使用 SESSION 保存我们的登录状态，并把 SESSION 的。

10、session的使用方式是客户端cookie里存id，服务端session存用户数据，客户端访问服务端的时候，根据id找用户数据而token的使用方式是客户端里存id也就是token用户信息密文，服务端什么也不存，服务端只有一段加密代码，用来判断当前加密后的密文是否和客户端传递过来的密文一致，如果不一致，就是。

11、token就是令牌，比如你授权登录一个程序时，他就是个依据，判断你是否已经授权该软件cookie就是写在客户端的一个txt文件，里面包括你登录信息之类的，这样你下次在登录某个网站，就会自动调用cookie自动登录用户名session和cookie差不多，只是session是写在服务器端的文件，也需要在客户端写入cookie。

12、你对 TOKEN 和 SESSION 的理解有误SESSION 是服务器通过 KeyValue 对来保存数据的一种机制，比如 APP 的登录状态可以用 SESSION 来保存TOKEN 翻译过来叫令牌，令牌是什么意思可以拿现实中的令牌对比，现实中的令牌起到通行证的作用，而这在服务端也是一样的我们在登录后，服务端使用 SESSION。

13、cookiesession 和 token 都是用于身份验证的技术，但它们之间有一些区别以下是它们之间的主要区别 CookieCookie 是一种存储在用户计算机上的小型文本文件，用于存储有关用户的会话信息当用户访问网站时，Web 应用程序可以将 Cookie 发送到用户的计算机上，以便在后续请求中识别用户Cookie 可以。

14、后端服务器有两种基本的身份验证是基于Cookie的身份验证，使用服务器端的cookie来对每次请求的用户进行身份验证较新的方法，基于令牌TokenBased的认证，依赖于被发送到服务器上每个请求的签署令牌为什么基于令牌tokenbased的方式更好呢理由如下跨域 CORS cookies + CORS 并不能跨不同的域名。

15、前面说到，cookie 因为是保存在客户端，所以有安全隐患，因而诞生了 session，session 保存在服务器端，相对安全很多但 session 每次都要为用户开辟一个空间用于其身份校验，且每次浏览器的请求过来服务器都要进行校验请求，十分耗费服务器的空间与性能于是，另一种身份校验工具诞生了，这就是 token。

16、token 来的 无论是哪一个， 都用来识别来源请求 服务端和客户端产生链接就叫个session 而在网页。