token代替session,token和session哪个安全

1、其实token和session不是同一个领域的概念token是一个字符串，而session是指一个会话，两者既不冲突又不可互相替代这里所说的大概是指token和session id通常存在cookie中的区别Token本身由oauth系列引入后才大规模普及的主要目的是支持SSO，也就是单点登录，这是oauth系列最主要的需求当然。

2、session一般指会话，并不单单指session_id，可以是当前访问用户保存在服务器内存中的任何数据然后，因为。

3、session的中文翻译是“会话”，当用户打开某个web应用时，便与web服务器产生一次session服务器使用session把用户的信息临时保存在了服务器上，用户离开网站后session会被销毁token的意思是“令牌”，是用户身份的验证方式，最简单的token组成uid用户唯一的身份标识time当前时间的时间戳sign签名。

4、一表达意思不同 1token某些机器中用以代替纸币的代币，专用辅币象征，标志礼券，代金券语言学符号计算机令牌，记号火车通行的路签 装点门面的，装样子的象征性的，作为标志的2session某项活动的一段时间，一场议会等的会议，法庭的开庭。

5、session是属于cookie的在APP下使用Token更加方便而且考虑到授权传递的话，维护Cookie就同时麻烦了两边了App通常用restful api跟server打交道Rest是stateless的，也就是app不需要像browser那样用cookie来保存session， 因此用session token来标示自己就够了，sessionstate由api server的逻辑处理如果你的。

6、区别在于登出是指客户端主动退出登录状态容易想到的方案是，客户端登录成功后， 服务器为其分配sessionId， 客户端随后每次请求资源时都带上sessionId服务器判断用户是否登录， 完全依赖于sessionId， 一旦其被截获， 黑客就能够模拟出用户的请求于是我们需要引入token的概念 用户登录成功后， 服务。

7、cookie，session都可以是token存储的一种方式cookie为存储在本地的数据，请求时会将该数据提交到服务器验证使用session为存储在服务器上的内存数据，只要会话没有中断，那么该数据持续有效toke通常上来说属于令牌，cookie，session为一种数据存储和使用方式，令牌可以存储在cookie，session，但是实际上通过。

8、相同点是，它们都是存储用户信息然而，Session是在服务器端的，而JWT是在客户端的 Session方式存储用户信息的最大问题在于要占用大量服务器内存，增加服务器的开销 而JWT方式将用户状态分散到了客户端中，可以明显减轻服务端的内存压力 Session的状态是存储在服务器端，客户端只有sessionid而Token的状态是存储在客。

9、你对 TOKEN 和 SESSION 的理解有误SESSION 是服务器通过 KeyValue 对来保存数据的一种机制，比如 APP 的登录状态可以用 SESSION 来保存TOKEN 翻译过来叫令牌，令牌是什么意思可以拿现实中的令牌对比，现实中的令牌起到通行证的作用，而这在服务端也是一样的我们在登录后，服务端使用 SESSION。

10、如果你的后端不是stateless的rest api， 那么你可能需要在app里保存session 可以在app里嵌入webkit，用一个隐藏的browser来管理cookie sessionsession 和 oauth token 并不矛盾，作为身份认证 token 安全性比session好，因为每个请求都有签名还能防止监听以及重放攻击，而session就必须靠链路层来保障通讯安全了。

11、步骤Seesion每次认证用户发起请求时，服务器需要去创建一个记录来存储信息当越来越多的用户发请求时，内存的开销也会不断增加可扩展性在服务端的内存中使用Seesion存储登录信息，伴随而来的是可扩展性问题跨域资源共享当我们需要让数据跨多台移动设备上使用时，跨域资源的共享会是一个让人。

12、Token 但是这里会有个问题， 服务器要保存所有用户的session信息，开销会很大，如果在分布式的架构下，就需要考虑session共享的问题，需要做额外的设计和开发 ，例如把session中的信息保存到Redis中进行共享所以因为这个原因，有人考虑这些信息是否可以让客户端保存，可以保存到任何地方，并且保证其安全性，于是就有了Token。

13、因为APP无法处理COOKIE，但token很适用这种设计简洁说就是新技术老技术，以前人们没想到，所以就没有设计这方面，人们就要再造个了祝你愉快，满意请采纳。

14、这种方式无需在服务端记录用户的登录状态信息，而是通过Token验证用户身份由于Token具有唯一性，它可以在多个服务器间共享同一个用户的信息，方便分布式部署应用同时，Token也可以进行过期时间设置，保证用户的安全登录状态相较于Session来说，Token Cookie更加轻量级且具有良好的跨域特性但是要注意防范。

15、服务器利用保留的私钥对密文进行解密，得到真正的密码 经过判断， 确定用户可以登录后，生成sessionId和token， 同时利用客户端发送的公钥，对token进行加密最后将sessionId和加密后的token返还给客户端客户端利用自己生成的私钥对token密文解密， 得到真正的token。

16、token就是令牌，比如你授权登录一个程序时，他就是个依据，判断你是否已经授权该软件cookie就是写在客户端的一个txt文件，里面包括你登录信息之类的，这样你下次在登录某个网站，就会自动调用cookie自动登录用户名session和cookie差不多，只是session是写在服务器端的文件，也需要在客户端写入cookie。