令牌和cookie之间最大的区别在于，浏览器会自动发送cookie，而需要显式添加bearer令牌到HTTP请求中。
这个特性使得cookie成为安全网站的好方式，其中用户使用链接登录并在页面之间导航。
浏览器自动发送cookie也有一个巨大的缺点，即跨站请求伪造（CSRF）攻击。 在CSRF攻击中，恶意网站利用您的浏览器将身份验证cookie自动附加到该域的请求上的事实，并欺骗您的浏览器执行请求的情况。
假设https://www.example.com网站允许经过身份验证的用户通过将新密码POST到https://www.example.com/changepassword来更改密码，而不需要发布用户名或旧密码。
如果您在访问恶意网站时仍然登录到该网站，并在您的浏览器中加载触发POST到该地址的页面，则您的浏览器将忠实地附加身份验证cookie，从而允许攻击者更改您的密码。
Cookie也可以用于保护Web服务，但现在大多数情况下使用令牌。 如果您使用cookie来保护Web服务，则该服务需要驻留在设置身份验证cookie的域上，因为同源策略不会将cookie发送到另一个域。
此外，Cookie使得非基于浏览器的应用程序（如移动到平板电脑应用程序）更难以使用您的API。

概述

您所询问的是客户端向服务器发送JSON Web Tokens（JWT）时使用cookie和bearer token之间的区别。

两者都可以发送数据。

其中一个区别是，cookie用于发送和存储任意数据，而bearer token专门用于发送授权数据。

该数据通常编码为JWT。

Cookie

Cookie是一对名称-值，在Web浏览器中存储，并具有到期日期和相关域名。

我们可以通过JavaScript或HTTP响应头在Web浏览器中存储cookie。

document.cookie = 'my_cookie_name=my_cookie_value'   // JavaScript
Set-Cookie: my_cookie_name=my_cookie_value           // HTTP Response Header

网络浏览器会自动在每个请求中向cookie所属的域名发送cookie。

GET http://www.bigfont.ca
Cookie: my_cookie_name=my_cookie_value               // HTTP Request Header

Bearer Token

Bearer Token是一个值，用于放置在任何HTTP请求的“Authorization”头中。它不会自动存储在任何地方，没有过期日期，也没有关联的域。它只是一个值。我们手动将该值存储在客户端，并手动将该值添加到HTTP授权头中。

GET http://www.bigfont.ca
Authorization: Bearer my_bearer_token_value          // HTTP Request Header

JWT和基于Token的认证

在进行基于Token的认证，例如OpenID、OAuth或OpenID Connect时，我们会从受信任的机构接收到访问令牌(access_token)（有时还包括id_token）。通常我们想要将其存储起来，并随着HTTP请求一起发送给受保护的资源。我们该如何做呢？

选项1是将token(s)存储在cookie中，这样可以处理存储操作并自动将token(s)在每个请求的Cookie头中发送到服务器。服务器然后解析cookie，检查token(s)，并做出相应的响应。

选项2是将Token存储在本地/会话存储中，然后手动设置每个请求的Authorization头。在这种情况下，服务器读取标头并像使用cookie一样继续执行。

值得阅读相关的RFC以了解更多信息。

除了MvdD提到的关于自动发送cookie的内容之外，还有以下补充：

1. Cookie可以作为媒介，但它最重要的功能是与浏览器的交互。Cookie由服务器设置并以非常特定的方式在请求中发送。另一方面，JWT专门作为一个媒介，它是某些事实的断言，具有特定的结构。如果你愿意，你可以把JWT作为你的身份验证cookie。在阅读比较它们的文章时，通常是指使用从前端代码发送的bearer token作为JWT，以及对应于后端缓存会话或用户数据的身份验证cookie。
2. JWT提供了许多功能，并将它们放入标准中，以便在各方之间使用。JWT可以在许多不同的位置上作为一种签名断言。无论你在cookie中放入什么数据或是否对其进行签名，它只在浏览器和特定后端之间使用才真正有意义。JWT可以从浏览器到后端、在由不同方控制的后端之间（OpenId Connect就是一个例子）或在一个组织的后端服务之间使用。关于您刚提到的已签名cookie的特定示例，您可能可以在该用例中实现与JWT相同的功能（“不使用会话ID，不使用服务器内存或文件存储”），但您会失去库和标准的同行评审，另外还有其他答案中谈到的CSRF问题。

总之：你正在阅读的帖子可能在比较JWT作为bearer token与浏览器到服务器身份验证用途的身份验证cookie。但JWT可以做更多的事情，它引入了用于在您可能正在考虑的用例之外使用的标准化和功能。

虽然cookie会随请求自动发送，从而增加CSRF攻击的风险，但当设置了HttpOnly标志时，它们可以降低XSS攻击的风险，因为注入到页面中的任何脚本都无法读取cookie。

CSRF: 攻击者在其网站上让用户点击链接（或查看图片），从而导致浏览器向受害者网站发送请求。如果受害者使用cookie，则浏览器将自动包含cookie在请求中，并且如果GET请求可以引起非只读操作，受害者网站就容易受到攻击。

XSS: 攻击者将脚本嵌入到受害者网站中（只有在输入未正确进行过滤时，受害者网站才容易受到攻击），攻击者的脚本可以执行页面上允许的任何JavaScript操作。 如果您将JWT令牌存储在本地存储中，则攻击者的脚本可以读取那些令牌，并将那些令牌发送到他们控制的服务器上。如果您使用带有HttpOnly标志的cookie，则攻击者的脚本将无法读取您的cookie。尽管如此，他们成功注入的脚本仍然可以执行JavaScript可以执行的任何操作，因此您仍然有风险（即，尽管他们可能无法读取cookie以便稍后使用，但是他们可以使用XHR向受害者网站发送请求，这些请求会包括cookie）。

参考 - JSON Web Token 的必要性

Cookies

在使用 cookies 方式进行认证时，一旦用户被认证通过，Gmail 服务器将会创建一个唯一的 session id。与该 session id 相对应的，服务器将在内存中存储所有 Gmail 服务器为了识别该用户并允许其执行操作所需的用户信息。
在所有随后的请求和响应中，这个 session id 也会被传递。因此当服务器收到请求时，它将检查该 session id。使用此 session id 将检查是否存在相应的信息。然后它将允许用户访问资源，并返回带有 session id 的响应。

Cookie 的缺点

• Cookies/session id 不是自包含的。它是一个引用令牌。每次验证时，Gmail 服务器需要获取相应的信息。
• 不适合涉及多个 API 和服务器的微服务架构。

JSON Web Token（JWT）

• JWT 是一个自包含的令牌，其中包含用于验证和授权的信息。
• 在使用 JWT 进行身份验证时，一旦用户被认证通过，Gmail 服务器将创建一个包含用户 ID 和其他有关用户的信息的 JWT。该 JWT 将被返回给客户端，并存储在本地存储中。
• 以后的每个请求将携带此 JWT。然后服务器将解密并验证 JWT，而无需访问数据库或其他服务来获取有关用户的信息。这使得 JWT 很适合用于微服务架构。

JWT是自包含的，它是一个值令牌。因此，在每次验证期间，Gmail服务器不需要获取与其对应的信息。

它经过数字签名，因此如果有人修改它，服务器会得知

它最适用于微服务架构

它还具有指定过期时间等其他优点。

1. 是的，Cookie 可以用于任何事情。
2. 我们为什么需要 JWT？

JSON 是最好的（也是唯一需要的）数据格式，你可以在其中放置任何想要的内容。

使用 JWT，您不受数据大小的限制，但使用 cookies，每个域只有 4093 字节 - 对于所有 cookies，而不是一个。

尽管如上所述，我会使用 cookies 实现 JWT 认证。即生成 JWT 访问令牌并将其存储在 cookie 中。