sessionID，token

参考：https://www.cnblogs.com/moyand/p/9047978.html

https://www.jianshu.com/p/8b42bbe789a7

sessionid是一个会话的key，浏览器第一次访问服务器会在服务器端生成一个session，有一个sessionid和它对应。服务端在创建了Session的同时，会为该Session生成唯一的sessionId，而sessionId会在随后的请求中会被用来重新获得已经创建的Session；Session被创建之后，就可以调用Session相关的方法往Session中增加内容了，而这些内容只会保存在服务器中，发到客户端的只有sessionId；当客户端再次发送请求的时候，会将这个sessionId带上，服务器接受到请求之后就会依据sessionId找到相应的Session，从而再次使用之。

　　当客户端第一次请求session对象时候，服务器会为客户端创建一个session，并将通过特殊算法算出一个session的ID，用来标识该session对象。

作用：sessionID用来判断是同一次会话，至于会话用来做什么，看需求，题主说的判断用户是否登录只是其中的一个需求。（那个token有什么区别。token是用于识别用户登陆的升级版本）

session是保存在服务器端的，它有一个生命期，客户端的cookie只是保存了id信息，关闭浏览器时，服务器端的session只要还在同一个生命期内还是同一次会话。

另一种方案是服务器索性不保存session数据了，所有数据就保存在客户端，每次请求都发回服务器。这种方案就是接下来要介绍的基于Token的验证;

token:

用户通过用户名和密码发送请求

程序验证

程序返回一个签名的token给客户端

客户端储存token, 并且每次用每次发送请求

服务端验证Token并返回数据

区别：Cookie和Session的区别

存储位置不同： cookie数据存放在客户的浏览器上，session数据放在服务器上

隐私策略不同：cookie不是很安全， 别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session

session会在一定时间内保存在服务器上。当访问增多，就会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie

存储大小不同： 单个cookie保存的数据不能超过4k, 很多浏览器都限制一个站点最多保存20个cookie

Token和Session的区别

Session是一种HTTP储存机制， 为无状态的HTTP提供持久机制;

Token就是令牌， 比如你授权(登录)一个程序时，它就是个依据，判断你是否已经授权该软件；

Session和Token并不矛盾，作为身份认证Token安全性比Session好，因为每一个请求都有签名还能防止监听以及重放攻击，而Session就必须依赖链路层来保障通讯安全了。如上所说，如果你需要实现有状态的回话，仍然可以增加Session来在服务端保存一些状态。