cookie和token在实际使用上的区别是什么？

cookie最初是解决http连接无状态问题的产物，用于客户端和服务端共同维护一些状态数据。cookie会被附加到http请求中，这不需要开发者做额外的支持。cookie存在一个最大长度的问题（4KB？）。

token通常作为验证后的凭证，免除在一定时间内的重复验证。token的存储和参数传递都需要开发者来处理。

使用cookie来维持登录态，在实现过程中实际上是在cookie中添加一个token来维持一个登录态。

cookie和token都是一个字符串，具体在这个字符串里面存放什么都可以商量。

客户端如何对账号密码进行加密？

一般做法是这样的：
这里只讨论登录名和密码，不考虑设备id等其他一些参数。
客户端 登录请求参数：account，md5(password+salt)
服务端验证后 返回：result，token

那么在传输过程中，别人虽然不知道账号密码，但能看到“ABCDEFG”。
只要下次把“ABCDEFG”传给服务器，照样可以登陆成功。

抵御重放攻击，可以在请求中加入时间戳，对整个请求体做签名，服务器验签后检查时间戳以及account，来决定是否响应。

那么加密的意义只是让明文不可见？

md5(password+salt)的目的不在于抵御重放攻击，而是为了保护用户真正的密码不被泄露。

账号：zhihu
密码：123456
假设用RSA非对称加密，加密完为“ABCDEFG”

当然也不是不可以。这里加密的目的依然是 “为了保护用户真正的密码不被泄露”。

另外补充一下，md5以及其他摘要算法（sha1、sha256等）并不属于加密算法。

如果希望整个通信不是明文传输，可以使用HTTPS，或者自己实现一套服务器认证，公钥交换以及加密解密的规则。