什么是token token用在哪 token放在哪比较好_tonken是放在那

1. token 其实就是访问资源的凭证，一般是用户通过用户名和密码登录成功之后，服务器将登录凭证做数字签名，加密之后得到的字符串作为token

2. token用在用户登录城后之后会返回给客户端，

3. token主要存储有:
   3.1 存储在localStorage、sessionStorage中，每次调用接口的时候发送给服务端（每次调用接口放在HTTP请求头的Authorization字段里）
       优点：可以跨域
  	   缺点：没有任何安全防御，很容易受到xss攻击（简单理解在输入框输入js代码）导致token被盗取，因此要做好xss防御
   3.2 存储在cookie中，可以自动发送给服务端
       优点：可以指定httponly，来防止xss，也可以指定secure，来保证token只能在HTTPS下传输
       缺点：不能跨域，而且不符合Restful最佳实践，易受CSRF攻击（简单来说攻击者盗用已经认证过的用户信息，以用户的名义进行一些操作（发邮件、转账等）CSRF不能拿到用户信息，他只是盗用用户的凭证去进行操作）。
1
2
3
4
5
6
7
8
9
10
11