HTTP の世界はステートレスです.すなわち基本的なプロトコル上では状態が管理されません.なので,ユーザの認証状態などを管理するために,これまでは主に Cookie & セッション ID が使われてきました.一方で,最近ではトークンを使った認証状態の管理もよく使われるようになってきました.この記事では,この辺の参考文献を見ながら,それぞれの特徴(主にトークンの利点)についてメモします. それぞれの認証方式の概要 Cookie & セッションID による認証 この方式では,ユーザが ID/PW をサーバに送り,その認証結果としてセッション ID が Cookie で返されます.サーバ側では,払い出したセッション ID とそれに紐づくセッション情報を1対1で管理しておきます.ユーザはそれ以降の HTTP リクエストに Cookie(セッションID) を含めることで,サーバに自分が誰であるのか(