为啥认证 token 信息要放 HTTP header 里面呢？啥时候开始流行这种认证方式的

cookies 这个 request-header 和 set-cookie 这个 response-header 只能由同域的服务端接收和返回，而大多数的 API 是跨域的。。

Token 放哪儿都行
问题是 cookie 跨域什么的 比较麻烦

这样比较方便

@lianyue header 里面跨域也要配置吧。

RESTFUL API 或者 JWT 了解下？ https://www.iluwen.com/blog/43

有些场景或语言启用 cookies 成本太高,比如 Java ,配置多服务器实例时共享成本比较高.

所以自己实现,只要根据 header 或 request params 来简单验证即可,而 request param 的方式,使用拦截器之类的方式不能很方便的设置为通用的,而 header 可以很方便的设置为通用默认带上.

个人理解

你的搜索引擎坏了可能。。。一直都有放头部的额

@mgcnrx11 有还是有的吧，至少.net 和 java 的 httpClient 还是会保存 cookie 吧，

1，前后端独立部署，前端的静态文件弄个 nginx 转发就行了，不涉及后端，这时候用 cookie 就不合适，没有后端服务下发 cookie，所以 token 头拿权限就很重要了

2，app 内嵌页面，有的是把静态资源一起打包到 app 里面，访问的方式是加载本地路径，协议是 file://，这样本地协议也是拿不到 cookie，所以还是得在请求头里面加权限

3，对于现在的微服务，一个请求可能需要提供给 web，微信公众号，ios，android 甚至是小程序，这时候用 token 鉴权就很省事了，统一鉴权

@34C 一年多没接触了，感觉一出来什么都变了😢

@cxh116
@NullException
@Mutoo
@gamexg
@whypool
谢谢，牵涉到后端部署的看不太懂，但是明白了这个做法的必要性，阿里嘎多