【前端知识点总结】Web身份认证 Cookie vs .Token

在 Web 开发的世界里，身份认证是守护应用大门的第一道锁。长久以来，Cookie 一直是这把锁的忠实守护者。但随着架构的演进，一位新的挑战者——Token——登上了历史舞台，并逐渐成为现代应用的主流选择。

它们之间不是简单的替代关系，而是一场关于设计哲学、安全性和架构演进的深刻变革。本文将深入剖析 Cookie 与 Token 的核心差异，并探讨在现代企业开发中，我们应如何做出明智的技术选型。

一、一个生动的比喻：夜总会手环 vs. 银行卡

为了理解两者本质的不同，我们先来看一个生活中的比喻。

Cookie 就像夜总会发的荧光手环

1. 获取方式：你在门口（登录）出示身份证（用户名密码），保安（服务器）验证后，直接给你戴上手环（设置 Cookie）。

2. 存储位置：手环戴在你手腕上（存储在浏览器中）。

3. 使用方式：你进入俱乐部的任何区域（访问同域名的任何页面），保安都会扫一眼你的手环，无需你再出示任何东西。手环是自动出示的。

4. 特点：

• 方便但被动：你无法控制何时出示手环，只要在俱乐部里，它就一直“亮着”。
• 与场地绑定：这个手环只能在这家俱乐部用（跨域受限）。
• 信息简单：手环上可能只写了“VIP”或“普通会员”（存储的信息较少，通常只是一个 Session ID）。