cookie和session结合使用

web开发发展至今，cookie和session的使用已经出现了一些非常成熟的方案。在如今的市场或者企业里，一般有两种存储方式：

1、存储在服务端：通过cookie存储一个session_id，然后具体的数据则是保存在session中。如果用户已经登录，则服务器会在cookie中保存一个session_id，下次再次请求的时候，会把该session_id携带上来，服务器根据session_id在session库中获取用户的session数据。就能知道该用户到底是谁，以及之前保存的一些状态信息。这种专业术语叫做server side session。
2、将session数据加密，然后存储在cookie中。这种专业术语叫做client side session。flask采用的就是这种方式，但是也可以替换成其他形式。

JWT

JWT由三个部分组成

1. Header：头部通常由两部分信息组成，token 的类型和使用的签名算法，通常是 {"alg":"HS256","typ":"JWT"}。

2. Payload：负载部分是 JWT 的主要信息存储部分，也是 JWT 的核心所在。它包含了一些声明（Claim），即对实体（通常指用户）及其它数据的描述，比如用户名、用户 ID、角色、过期时间等，由 JSON 对象来表示。

3. Signature：签名部分，是整个 JWT 的防篡改保证。通常是将前两部分用 base64 编码后拼接起来，然后使用指定的算法（例如 HMAC、RSA）进行加密生成的。通过签名可以验证 JWT 是否被篡改过。

JWT的工作流程如下：

1. 用户登录：用户在客户端（如浏览器）输入用户名和密码，发送到认证中心（授权服务器）进行验证。

2. 认证中心验证：认证中心验证用户的用户名和密码是否正确，如果正确则生成一个JWT，并将其发送回客户端。

   /*生成JWT*/
   import io.jsonwebtoken.Jwts;
   import io.jsonwebtoken.SignatureAlgorithm;
   import java.util.Date;public class JwtUtil {private static final String SECRET_KEY = "yourSecretKey";public static String generateToken(String username, long expirationTimeMillis) {Date now = new Date();Date expirationTime = new Date(now.getTime() + expirationTimeMillis);return Jwts.builder().setSubject(username).setIssuedAt(now).setExpiration(expirationTime).signWith(SignatureAlgorithm.HS256, SECRET_KEY).compact();}
   }
   

3. 客户端存储JWT：客户端（浏览器）收到JWT后，通常会将其存储在Cookie或LocalStorage中。

4. 访问应用系统：当用户访问其他应用系统时，会将存储的JWT附加到HTTP请求的头部中。

token、session、cookie

Token和Session+Cookie都是实现用户认证和授权的方式，但它们在实现上有一些区别。

1. Token是一种无状态的认证机制，它是基于加密的令牌，服务器不需要保存用户的登录状态。当用户登录成功后，服务器会生成一个Token，并返回给客户端。客户端之后的每次请求都需要携带这个Token，服务器通过解析Token来验证用户身份和权限。Token通常使用在前后端分离的架构中，适用于分布式应用和跨域请求。

2. Session+Cookie是一种有状态的认证机制，它通过在客户端浏览器中保存一个Session ID，将用户的登录状态保存在服务器端的Session中。服务器在用户登录时会创建一个Session，并将Session ID通过Cookie发送给客户端，客户端在后续的请求中会自动携带该Cookie。服务器通过Session ID来查找对应的Session，从而识别用户和验证用户状态。Session+Cookie通常使用在传统的Web应用中，需要服务器端保存用户的登录状态。

总体来说，Token更加适用于无状态、分布式、跨域等场景，而Session+Cookie更加适用于有状态、传统Web应用等场景。选择哪种方式取决于你的应用需求和架构设计。在现代的Web开发中，由于前后端分离和分布式架构的普及，Token认证方式较为流行。但对于一些特定场景和遗留系统，Session+Cookie仍然有其应用价值。