Token、JWT、OAuth、SAML、SSO与Session：不只是简单的替代关系

1. Token：轻量级凭证

    Token 是服务器发给客户端的一串字符，用以证明客户端身份。Token 非常轻量级，并且不包含任何敏感信息，因此可以安全地存储在客户端。

    **2. JWT：安全可靠的 Token** 

    JWT (Json Web Token) 是 Token 的一种特殊格式。JWT 的特点是安全可靠，并且可以跨域传递。JWT 由三部分组成：Header、Payload 和 Signature。Header 包含 Token 的元数据，如算法和类型；Payload 包含 Token 的有效载荷，即要传输的数据；Signature 是由 Header 和 Payload 加密后的签名。

    **3. OAuth：授权协议** 

    OAuth 是一个授权协议，用于让第三方应用程序访问用户数据。在 OAuth 流程中，用户首先授权第三方应用程序访问其数据，然后第三方应用程序使用 OAuth Token 来访问用户数据。OAuth 的特点是安全可靠，并且支持多平台。

    **4. SAML：单点登录协议** 

    SAML (Security Assertion Markup Language) 是一个单点登录协议，用于让用户使用同一个身份验证凭证登录多个应用程序。在 SAML 流程中，用户首先使用 SAML Token 登录 SAML 服务提供商，然后 SAML 服务提供商将 SAML Token 转发给 SAML 身份提供商。SAML 身份提供商验证 SAML Token 后，将用户的身份信息返回给 SAML 服务提供商。

    **5. SSO：单点登录解决方案** 

    SSO (Single Sign-On) 是一个单点登录解决方案，用于让用户使用同一个身份验证凭证登录多个应用程序。SSO 的实现方式有很多种，如 SAML、OAuth、Kerberos 等。SSO 的特点是方便快捷，并且可以提高安全性。

    **6. Session：会话管理机制** 

    Session 是会话管理机制，用于跟踪用户在服务器端的活动。Session 由服务器创建，并存储在服务器端。当用户访问服务器时，服务器会根据用户提供的 Session ID 来识别用户。Session 的特点是简单易用，并且可以存储大量数据。

    **7. JWT 与 Session：差异与对比** 

    JWT 与 Session 都是用于身份验证的机制，但两者有很大的不同。JWT 是轻量级的，不包含任何敏感信息，并且可以跨域传递。Session 是重量级的，包含大量数据，并且不能跨域传递。JWT 的安全性比 Session 更高，并且 JWT 不需要服务器端存储，而 Session 需要服务器端存储。

    **8. 何时选择 JWT，何时选择 Session** 

    JWT 和 Session 各有优缺点，在不同的场景下，需要根据具体情况选择合适的机制。一般来说，如果需要轻量级、跨域传递、安全性高的身份验证机制，则可以选择 JWT；如果需要存储大量数据，则可以选择 Session。