Secure 属性

Cookie 的 Secure 属性，意味着保持 Cookie 通信只限于加密传输，指示浏览器仅仅在通过安全/加密连接才能使用该 Cookie。也就是只有在 https 连接中 cookie 才能被浏览器传输到服务端，如果是 http 连接则不会传递该 cookie，以达到防止被窃取。

HttpOnly 属性

Cookie 的 HttpOnly 属性，指示浏览器不要在除 HTTP（和 HTTPS) 请求之外暴露 Cookie。一个有 HttpOnly 属性的 Cookie，不能通过非 HTTP 方式来访问，例如通过调用 JavaScript 等脚本程序(例如，引用 document.cookie）。它能有效防范 XSS 攻击。

在讲解 Cookie、Session、Token 前，我们先来理解两个概念：认证、授权。

什么是认证？

认证（Authentication）简单来说就是 验证身份，证明一个用户的合法性。

传统的身份认证方式是通过用户名与密码，随着科技的发展，除了传统认证当时，还有：

• 用户手机：手机短信、二维码、手势密码；
• 电子邮箱；
• 身份证号码；
• 基于时间序列和用户相关的一次性口令；
• 生物学特征：指纹、语音、虹膜等。