回答

http是无状态链接（无状态是指服务器不知道请求具体来自于哪个用户，因而不能随便去操作数据库），而COOKIEs,session和token就是在这个背景下提出来的。三者都是用来保存用户的相关信息的（如用户标志uid...）、过期时间等，随着客户端的请求发送到服务端用于身份校验。

1. COOKIEs：由服务器生成，在客户端以key-value形式保存用户信息

组成：下图就是Chrome浏览器中简书网页下的COOKIEs（按F12打开浏览器调试功能）
主要是由Name（名字，相当于key） + Value（值，即当前用户信息） + Domian（域名） + Path（路径） + Expires/Max-Age（过期时间） + Size（大小）

使用：用于响应头和请求头中：由服务器在响应头中设置，客户端保存，并在发送请求时请求头中带上COOKIE

有效期：如果有设置过期时间，那么只要时间还没过期，即使关闭浏览器COOKIEs也还会存在，反之，会在浏览器关闭时消失

优缺点：优点是可以保存客户相关信息和状态，这对于无状态的http请求来说是很重要的(但也不是不可或缺，COOKIE是通过http请求报文head部分中的，而在http请求报文中，数据除了可以通过head传递，也可以通过url或请求体传递)因为由客户端保存，可以被人修改，而且在传递过程中容易被人拦截(一些重要信息需要通过加密传输，而用session则可以把用户相关信息和状态保存在服务器，所以能避免信息外泄的问题)，具有安全隐患；且在某些浏览器上能保存的COOKIEs数量和大小有限制；还有就是不支持跨域访问(Token可解决这个问题)

2. session：在服务端生成，以key-value形式保存用户信息

组成：session保存在服务器内存中，维持一个hash表保存用户相关信息（也是key-value形式）

使用：一个用户对应一个session，每个session都有它独一无二的sessionid，sessionid随响应头set-COOKIE保存到客户端的COOKIEs中。客户端发送请求时带上COOKIEs，服务端从COOKIEs中拿到sessioid，然后根据sessionid从内存中找到对应用户的session获取相关用户信息

有效期：session默认30分钟超时，即如果在30分钟内session没有被访问过，那么就失效了。

优缺点：能够解决COOKIEs的安全隐患，但因为保存在服务器内存中，当同时访问的用户很多时内存占用争夺，性能会受到影响

3. token：访问令牌--> 一个服务端生成的独一无二的字符串

组成：登录时由服务端生成，一般组成形式：uuid(用户唯一身份标志)+time（时间戳）+sign(签名=uuid+time+salt根据hash算法生成的字符串）+[常用的固定参数（可选）]

使用：服务端生成后随http响应保存在客户端的COOKIEs或local storage中，随客户端请求发送至服务端，用于单点登录的身份验证，防止跨站点请求伪造等

有效期：根据token中的时间戳跟当前时间对比计算，看过期与否，有效期默认7天，用户退出时直接销毁token(???)

优缺点：支持跨域访问，防止信息外泄，可以在多个服务间共享。且不像session存储于服务器内存中，不影响服务器的性能，但是需要额外的时间开销(cpu需要每次去校验传过来的token是否有效(保存在服务器内存中性能是不是会更好，还是说有多种实现方案，自己衡量？？？))