在 Web 开发的世界里,身份认证是守护应用大门的第一道锁。长久以来,Cookie 一直是这把锁的忠实守护者。但随着架构的演进,一位新的挑战者——Token——登上了历史舞台,并逐渐成为现代应用的主流选择。
它们之间不是简单的替代关系,而是一场关于设计哲学、安全性和架构演进的深刻变革。本文将深入剖析 Cookie 与 Token 的核心差异,并探讨在现代企业开发中,我们应如何做出明智的技术选型。
一、一个生动的比喻:夜总会手环 vs. 银行卡
为了理解两者本质的不同,我们先来看一个生活中的比喻。
Cookie 就像夜总会发的荧光手环
1. 获取方式:你在门口(登录)出示身份证(用户名密码),保安(服务器)验证后,直接给你戴上手环(设置 Cookie)。
2. 存储位置:手环戴在你手腕上(存储在浏览器中)。
3. 使用方式:你进入俱乐部的任何区域(访问同域名的任何页面),保安都会扫一眼你的手环,无需你再出示任何东西。手环是自动出示的。
4. 特点:
- 方便但被动:你无法控制何时出示手环,只要在俱乐部里,它就一直“亮着”。
- 与场地绑定:这个手环只能在这家俱乐部用(跨域受限)。
- 信息简单:手环上可能只写了“VIP”或“普通会员”(存储的信息较少,通常只是一个 Session ID)。
)
