08-06 Token 与 Session:登录状态怎么维持

08-06 Token与Session 解释的是用户登录后,系统怎么记住“这个请求是谁发的”。


一、它解决什么

它解决的是 HTTP 无状态问题。每次请求都是新的,必须带上能证明身份的凭证。

二、一个比喻

Session 像服务端会员档案,Cookie 里放会员号;Token 像带签名的通行证。

三、放到系统里看

Session 通常服务端存状态;JWT 这类 Token 可携带签名信息。二者都要注意过期、刷新、撤销和泄露风险。

四、常见坑 / 学习抓手

常见坑是 Token 永不过期,或存在不安全位置。凭证一旦泄露,就像钥匙丢了。

一句话总结

Token 和 Session 都是维持登录态的凭证机制。


关联笔记