写在文章开头

你好，我叫sharkchili，目前还是在一线奋斗的Java开发，经历过很多有意思的项目，也写过很多有意思的文章，是CSDN Java领域的博客专家，也是Java Guide的维护者之一，非常欢迎你关注我的公众号：写代码的SharkChili，这里面会有笔者精心挑选的并发、JVM、MySQL数据库专栏，也有笔者日常分享的硬核技术小文。

构建需要进行身份认证的系统时，一般我们会通过session或者token作为认证的依据，所以本文针对这个问题来深入探讨一下两者的差异以便读者可以工具实际需要选择合适的认证机制，而本文的主要内容如下：

什么是session

我们都知道web应用都采用HTTP协议进行通信，而HTTP协议是一种无状态协议，而用户常常因为简单业务上的操作而需要不断请求web系统的接口，为了让web系统可以感知到当前请求的是否是同一个用户，于是就有session机制。当用户第一次发起web请求时，服务端会为其生成一个唯一ID缓存在服务器上(通常会存储到内存、数据库里)，然后通过响应头的方式将这个sessionId交给用户，让用户缓存到cookie中，后续的请求只需携带这个sessionId，服务器即可快速的完成用户的认证。

什么是token

token也是用户认证的一种手段，其工作原理相较于前者有些不同，在用户进行登录认证通过之后，服务器会针对当前用户信息使用一套固定的算法(如MD5、SHA等)生成一个唯一字符串返回给用户，一般情况下，这个字符串可以确保会话在单位时间内是有效的，用户在收到这个token后就还是将token缓存至cookie中，后续进行通信时，用户只需将token信息传到服务端，而服务端进行校验时则需要通过算法进行解析校验才能判断是否有效。

两者的区别

可以看出session是典型的空间换时间，每次对用户完成认证之后都需要将会话信息缓存在服务器上，这就导致这种认证机制有以下两种缺点:

1. 遇到服务器重启之后，用户又需要进行重新认证。
2. 在分布式系统上很容易导致用户认证时候而又重新进行认证的尴尬情况。

而token相较于前者因为它一种带有数学性质的算法，所以及时在分布式部署的负载均衡环境，因为算法的唯一性，每一个节点都可以正确的完成认证，但美中不足的就是token的校验涉及复杂的解析和运算，很明显token认证是典型的时间换空间的思想。

小结

总的来说，session适用于用户量较小的web运用，通过缓存机制即可快速实现用户的时效认证机制，而token更多适用于session无法使用的分布式系统以及小程序、移动应用等。

我是sharkchili，CSDN Java 领域博客专家，开源项目—JavaGuide contributor，我想写一些有意思的东西，希望对你有帮助，如果你想实时收到我写的硬核的文章也欢迎你关注我的公众号： 写代码的SharkChili，同时我的公众号也有我精心整理的并发编程、JVM、MySQL数据库个人专栏导航。

参考资料

还分不清Session和Token？一文彻底弄明白！ :https://mp.weixin.qq.com/s/-LAAFAqxRYGBUjQXWnv3nQ (opens new window)