前言

在日常开发和系统架构设计中，许多开发者对 Cookie、Session、Token、JWT 和 OAuth 2.0 这一组核心概念容易产生混淆。这些概念贯穿了用户身份认证和授权访问的整个流程，理解它们的区别、联系及适用场景，是构建安全可靠系统的基础。

本文将通过一个生动的比喻切入，结合代码实战和架构对比，为你彻底厘清这些技术之间的关系，协助你在实际项目中做出正确的技术选型。

一、核心概念关系总览

为了建立直观理解，我们用一个餐厅就餐模型来类比：

在这个模型中：

• Cookie 如同餐厅的会员卡，是身份的载体
• Session 如同后厨的会员档案，记录了详细信息
• Token/JWT 如同防伪门票，自身包含全部信息
• OAuth 2.0 如同微信扫码授权登录流程

二、Cookie：HTTP的状态管理机制

2.1 技术本质
Cookie是由服务器发送到浏览器，并保存在本地的一小段文本数据。浏览器会在后续向同一服务器发起的请求中自动携带这些数据。它是维持HTTP状态管理的基础。

工作机制流程：

2.2 关键属性与安全配置

// 服务器设置Cookie示例
@PostMapping("/login")
public ResponseEntity login(@RequestBody User user, HttpServletResponse response) {
    if (authService.authenticate(user)) {
        Cookie cookie = new Cookie("session_id", generateSessionId());
        cookie.setMaxAge(3600);      // 1小时有效期
        cookie.setHttpOnly(true);    // 防XSS攻击，禁止JS访问
        cookie.setSecure(true);      // 仅HTTPS传输
        cookie.setPath("/");         // 对整个站点有效
        response.addCookie(cookie);
        return ResponseEntity.ok().build();
    }
    return ResponseEntity.status(401).build();
}

安全最佳实践：

• HttpOnly: 必须启用，防止XSS攻击获取Cookie
• Secure: 生产环境必须启用，保证传输安全
• SameSite: 提议设置为Lax或Strict，防范CSRF攻击
• 合理设置Max-Age，平衡安全性与用户体验

三、Session：服务端的会话管理

3.1 服务端状态维护
Session是服务器端的用户状态存储机制。服务器为每个会话创建唯一标识(Session ID)，通过Cookie传递给客户端，后续请求通过此ID识别用户。

典型Session数据结构：

public class UserSession {
    private String sessionId;           // 会话唯一标识
    private String userId;              // 用户ID
    private String username;            // 用户名
    private Date loginTime;             // 登录时间
    private Date lastAccessTime;        // 最后访问时间
    private Map<String, Object> attributes; // 自定义属性
}

3.2 分布式Session管理
在集群环境下，Session需要聚焦存储以保持一致性：

@Configuration
@EnableRedisHttpSession // 启用Redis分布式Session存储
public class SessionConfig {
    @Bean
    public LettuceConnectionFactory connectionFactory() {
        return new LettuceConnectionFactory();
    }
}

Session集群同步架构：

四、Token与JWT：无状态认证方案

4.1 Token的核心优势
与Session不同，Token方案无需在服务端存储会话状态，所有必要信息都包含在Token本身中，适合分布式系统和API架构。

Session与Token方案对比：

4.2 JWT：标准化Token实现
JWT(JSON Web Token)是Token的一种标准化实现，由三部分组成：

JWT结构详解：

• Header: 声明类型和签名算法 {“alg”: “HS256”, “typ”: “JWT”}
• Payload: 包含声明(用户ID、过期时间等)
• Signature: 对前两部分的签名，验证消息完整性

JWT生成与验证实战：

// 生成JWT
public String createJWT(User user) {
    return Jwts.builder()
        .setHeaderParam("typ", "JWT")
        .setSubject(user.getId())
        .setIssuer("myapp")
        .setIssuedAt(new Date())
        .setExpiration(new Date(System.currentTimeMillis() + 3600000))
        .claim("username", user.getUsername())
        .claim("role", user.getRole())
        .signWith(SignatureAlgorithm.HS256, secret.getBytes())
        .compact();
}

// 解析验证JWT
public Claims parseJWT(String jwt) {
    return Jwts.parser()
        .setSigningKey(secret.getBytes())
        .parseClaimsJws(jwt)
        .getBody();
}

4.3 安全实践与令牌刷新

// 双Token机制：Access Token + Refresh Token
public class TokenPair {
    private String accessToken;  // 短期有效：1小时
    private String refreshToken; // 长期有效：7天
}

// 令牌刷新接口
@PostMapping("/refresh")
public ResponseEntity refresh(@RequestBody RefreshRequest request) {
    if (validateRefreshToken(request.getRefreshToken())) {
        String newAccessToken = generateAccessToken(extractUserId(request.getRefreshToken()));
        return ResponseEntity.ok(new TokenPair(newAccessToken, request.getRefreshToken()));
    }
    return ResponseEntity.status(401).build();
}

五、OAuth 2.0：标准化授权框架

5.1 核心角色与概念
OAuth 2.0是一个授权框架，用于第三方应用在用户授权后访问受保护资源：

• 资源所有者(Resource Owner): 用户
• 客户端(Client): 第三方应用
• 授权服务器(Authorization Server): 颁发令牌
• 资源服务器(Resource Server): 托管受保护资源

5.2 授权码流程详解

5.3 Spring Security OAuth2实战

@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("clientapp")
            .secret(passwordEncoder.encode("123456"))
            .authorizedGrantTypes("authorization_code", "refresh_token")
            .scopes("read", "write")
            .redirectUris("http://localhost:8080/callback");
    }
}

六、技术对比与选型指南

6.1 功能定位对比

6.2 应用场景推荐

• 传统Web应用: Session + Cookie
• 前后端分离/微服务: JWT + HTTP Header
• 第三方登录集成: OAuth 2.0 + JWT
• 移动端应用: Token + 安全存储

6.3 安全考量

• XSS防护: 使用HttpOnly Cookie存储敏感信息
• CSRF防护: 启用SameSite Cookie属性
• 令牌安全: 使用HTTPS传输，设置合理过期时间
• 密钥管理: 使用强密钥并定期轮换

七、总结与实践提议

通过本文的详细解析，我们可以得出以下核心结论：

1. 概念关系：
2. Cookie是HTTP状态管理的载体
3. Session是服务端状态存储方案
4. Token是认证凭证的抽象概念
5. JWT是Token的一种标准化实现
6. OAuth 2.0是授权流程的框架标准
7. 选型提议：
8. 根据系统架构选择状态管理方案
9. 思考分布式需求和性能要求
10. 平衡安全性与开发复杂度
11. 安全实践：
12. 始终使用HTTPS传输敏感信息
13. 实施防御深度策略，多层防护
14. 定期进行安全审计和漏洞扫描

没有最好的技术，只有最合适的选择。理解每个技术的本质和适用场景，结合实际业务需求，才能构建出既安全又高效的认证授权系统。