token和cookie一样都是首次登陆时，由服务器下发，都是当交互时进行验证的功能，作用都是为无状态的HTTP提供的持久机制。

token存在哪儿都行，localstorage或者cookie。

token和cookie举例，token就是说你告诉我你是谁就可以。

cookie 举例：服务员看你的身份证，给你一个编号，以后，进行任何操作，都出示编号后服务员去看查你是谁。

token 举例：直接给服务员看自己身份证。

对于token而言，服务器不需要去查看你是谁，不需要保存你的会话。当用户logout的时候cookie和服务器的session都会注销；但是当logout时候token只是注销浏览器信息，不查库。

token优势在于，token由于服务器端不存储会话，所以可扩展性强，token还可用于APP中。

归总一下

Token 完全由应用管理，所以它可以避开同源策略。

Token 可以避免 CSRF 攻击。

Token 可以是无状态的，可以在多个服务间共享。

Token和cookie有什么区别？Token和cookie有何不同？Token有什么特点？Token和cookie都是网络协议相关知识点，网络安全工程师需要了解的基本内容。要成为优秀的网络安全工程师，需要掌握扎实的网络安全技能。随着网络安全市场需求的增加，学习网络安全技能的人们越来越多，网络安全越来越受欢迎。Token和cookie有什么区别？Token有什么特点？
Token和cookie有什么区别？
token和cookie一样都是首次登陆时，由服务器下发，都是当交互时进行验证的功能，作用都是为无状态的HTTP提供的持久机制。
token存在哪儿都行，localstorage或者cookie。
对于token而言，服务器不需要去查看是谁，不需要保存会话。当用户logout的时候cookie和服务器的session都会注销；但是当logout时候token只是注销浏览器信息，不查库。
token优势在于，token由于服务器端不存储会话，所以可扩展性强，token还可用于APP中。
Token有什么特点？
Token完全由应用管理，所以它可以避开同源策略
Token可以避免CSRF攻击
Token可以是无状态的，可以在多个服务间共享

HTTP协议本身是无状态的，所以需要一个标志来对用户身份进行验证
1、cookie
用户登录成功后，会在服务器存一个session，同时发送给客户端一个cookie，这个cookie里面有唯一标识该用户的sessionID
数据需要客户端和服务器同时存储
用户再进行请求操作时，需要带上cookie，在服务器进行验证
cookie是有状态的
2、token
用户进行任何操作时，都需要带上一个token
token的存在形式有很多种，header/requestbody/url 都可以
这个token只需要存在客户端，服务器在收到数据后，进行解析
token是无状态的
token相对cookie的优势
1、支持跨域访问 ，将token置于请求头中，而cookie是不支持跨域访问的；
2、无状态化， 服务端无需存储token ，只需要验证token信息是否正确即可，而session需要在服务端存储，一般是通过cookie中的sessionID在服务端查找对应的session；
3、 无需绑定到一个特殊的身份验证 方案（传统的用户名密码登陆），只需要生成的token是符合我们预期设定的即可；
4、 更适用于移动端 （Android，iOS，小程序等等），像这种原生平台不支持cookie，比如说微信小程序，每一次请求都是一次会话，当然我们可以每次去手动为他添加cookie，详情请查看博主另一篇博客；
5、 避免CSRF跨站伪造攻击 ，还是因为不依赖cookie；
6、 非常适用于RESTful API ,这样可以轻易与各种后端（java，.net，python…）相结合，去耦合

[quote]

session  token
https://blog.csdn.net/diyu122222/article/details/73277110

cookie token
https://blog.csdn.net/tiger0709/article/details/78095216
[/quote]