储存位置

三者都是应用在web中对http无状态协议的补充，达到状态保持的目的

cookie：cookie中的资讯是以键值对的形式储存在浏览器中，而且在浏览器中可以直接看到资料。下图为safari的cookie截图：

session：session储存在服务器中，然后传送一个cookie储存在浏览器中，cookie中储存的是session_id，之后每次请求服务器通过session_id可以获取对应的session资讯

JWT：JWT储存在浏览器的storage或者cookie中。由服务器产生加密的json资料包括：header，payload和signature三部分组成。header中通常来说由token的生成算法和型别组成；payload中则用来储存相关的状态资讯；signature部分由header，payload，secret_key三部分加密生成。

注意，不要在JWT的payload或header中放置敏感资讯，除非它们是加密的。下图为官网的截图：

优缺点

cookie:

优点：结构简单。cookie是一种基于文字的轻量结构，包含简单的键值对。资料持久。虽然客户端计算机上cookie的持续时间取决于客户端上的cookie过期处理和使用者干预，cookie通常是客户端上持续时间最长的资料保留形式。缺点：大小受到限制。大多数浏览器对 cookie 的大小有 4096 字节的限制，尽管在当今新的浏览器和客户端装置版本中，支援 8192 字节的 cookie 大小已愈发常见。非常不安全。cookie将资料裸露在浏览器中，这样大大增大了资料被盗取的风险，所有我们不应该将中要的资料放在cookie中，或者将资料加密处理。容易被csrf攻击。可以设定csrf_token来避免攻击。session：

优点：session的资讯储存在服务端，相比于cookie就在一定程度上加大了资料的安全性；相比于jwt方便进行管理，也就是说当用户登入和主动登出，只需要新增删除对应的session就可以，这样管理起来很方便。缺点：session储存在服务端，这就增大了服务器的开销，当用户多的情况下，服务器效能会大大降低。因为是基于cookie来进行使用者识别的, cookie如果被截获，使用者就会很容易受到跨站请求伪造的攻击。使用者认证之后，服务端做认证记录，如果认证的记录被储存在内存中的话，这意味着使用者下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源，这样在分散式的应用上，会限制负载均衡和丛集水平拓展的能力。JWT：

优点：因为json的通用性，jwt可以支援跨语言请求，像JAVA,JavaScript,PHP等很多语言都可以使用。因为有了payload部分，所以JWT可以在自身储存一些其他业务逻辑所必要的非敏感资讯。便于传输，JWT的构成非常简单，字节占用很小，所以它是非常便于传输的。不需要在服务端储存会话资讯, 利于服务器横向拓展。缺点：登入状态资讯续签问题。比如设定token的有效期为一个小时，那么一个小时后，如果使用者仍然在这个web应用上，这个时候当然不能指望使用者再登入一次。目前可用的解决办法是在每次使用者发出请求都返回一个新的token，前端再用这个新的token来替代旧的，这样每一次请求都会重新整理token的有效期。但是这样，需要频繁的生成token。另外一种方案是判断还有多久这个token会过期，在token快要过期时，返回一个新的token。使用者主动登出。JWT并不支援使用者主动退出登入，客户端在别处使用token仍然可以正常访问。为了支援登出，我的解决方案是在登出时将该token加入到服务器的redis黑名单中。