cookie

cookie是存储在浏览器上的一小段数据，用来记录某些当页面关闭或者刷新后仍然需要记录的信息。在控制台用 「document.cookie」查看你当前正在浏览的网站的cookie。


cookie可以使用 js 在浏览器直接设置（用于记录不敏感信息，如用户名）, 也可以在服务端通使用 HTTP 协议规定的 set-cookie 来让浏览器种下cookie，这是最常见的做法。（打开一个网站，清除全部cookie，然后刷新页面，在network的Response headers试试找一找set-cookie吧）


每次网络请求 Request headers 中都会带上cookie。所以如果 cookie 太多太大对传输效率会有影响。


一般浏览器存储cookie 最大容量为4k，所以大量数据不要存到cookie。

session

当一个用户打开淘宝登录后，刷新浏览器仍然展示登录状态。服务器如何分辨这次发起请求的用户是刚才登录过的用户呢？这里就使用了session保存状态。用户在输入用户名密码提交给服务端，服务端验证通过后会创建一个session用于记录用户的相关信息，这个 session 可保存在服务器内存中，也可保存在数据库中。


创建session后，会把关联的session_id 通过setCookie 添加到http响应头部中。


浏览器在加载页面时发现响应头部有 set-cookie字段，就把这个cookie 种到浏览器指定域名下。


当下次刷新页面时，发送的请求会带上这条cookie， 服务端在接收到后根据这个session_id来识别用户。


cookie 是存储在浏览器里的一小段「数据」，而session是一种让服务器能识别某个用户的「机制」，session 在实现的过程中需要使用cookie。当然有时候说到 session 也指服务器里创建的那个和用户身份关联的对象。

localStorage

localStorage HTML5本地存储web storage特性的API之一，用于将大量数据（最大5M）保存在浏览器中，保存后数据永远存在不会失效过期，除非用 js手动清除。


不参与网络传输。


一般用于性能优化，可以保存图片、js、css、html 模板、大量数据。

token

token的作用和session是差不多的，是用户的唯一标识。一般保存在redis内存中(服务端)。


token一般是通过参数或header上传，发送给服务器，服务器验证签名是否有效，如果有效那么认证就成功，可以返回客户端需要的数据。

jwt

jwt全称是json web token。
jwt的作用和session, token是差不多的，是用户的唯一标识。


jwt的token是不需要保存的(服务端)，
jwt将用户信息加密到token里，服务器不保存任何用户信息。服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证。
jwt包含三个部分： Header头部，Payload负载和Signature签名。由三部分生成token，三部分之间用“.”号做分割。
jwt返回的数据一般包含token和refresh_token。token一般是2小时(可以自己设置)，refresh_token用于过期以后重新请求得到token


客户端通过header上传的，服务器通过解码，判断服务器验证签名是否有效，如果有效那么认证就成功，可以返回客户端需要的数据。

总结

cookie和localStorage都是用用于保存本地信息的。


session，token，jwt都是用于验证用户的唯一标识的。