现在还有用 cookies 吗

现在对 cookie 的权限要求好像是最严的，所以这么安全的地方不用来存点重要的东西，难道浪费掉？

@vone 这关前端程序员什么事？楼主一个做 Java 和 Go 的，也成前端程序员了？况且一个孤例打翻一船人？这年头一线程序狗的大部分工作不是 CRUD 就是切图再不济就是调个参，都是无产阶级，还搞出优越感鄙视链了？

建议楼主多学习，你这样很不安全。

@vone 看了你的回帖记录，话都不会说，又是“儿子”又是“你🐎”的。block 了。

token 存 localstorage cookie 都可 ，token 也可以做成 jwt 这么服务器也可以做成服务器存储以及不存储 验证，session 基础于 cookie，session 在服务器有存储验证，现在前端登录就这几种吧，还有第三方登录，sso

@murmur 小伙伴一般只说 post 的内容是看不见的[doge]，这些人无论做前端还是后端，天天收发 http 请求，我怀疑一眼报文格式都没看过

基础不扎实。。。先多了解一下基础知识先吧。。。楼上的都吵翻天了。

不管用啥，最重要的是防止凭据被伪造，不加密、弱加密不管用什么技术都有安全风险。

Token 的优势在于不依赖浏览器标准，任何非浏览器客户端也可以轻松使用，比如 App 端，处理 Cookie 的时候复杂度往往比较高，用 token 简单明了。

Cookie 的优势在于有浏览器标准的支持，很多功能不需要自己实现，只要浏览器按照标准设计，就能直接使用 Cookie 的特性。

Token 本身不包括存储技术，客户端希望保持会话的话是需要自己提供机制来存储 Token 的，在浏览器端可以用 Web Storage 来存储，在 App 端可以直接存在本地数据库或文件里。

传输方式上：Cookie 是封装好的、在 Header 里传输的方式； Token 可以自己封装用 Header 里的某字段来传，也可以直接在 URL 里传，比较灵活。

然后因为 Cookie 广泛用于用户数据追踪的技术，所以国际上通常要求在用户同意的情况下使用 Cookie 。

你公司的老项目要给你这个菜鸡玩完了

哪个网站不用 cookie 。。。

多看看标准，别自己重新实现一套标准里有的东西做的结果还没标准安全

token 和 cookie 不是一个东西怎么比？楼主问的应该是 localStorage 和 cookie 用哪个。localStorage 还是有一些局限的。做安全还是 cookie 好用。

token in http header 可以不用考虑 CSRF protection，不好的地方目前遇到过的是下载文件需要用 blob API，文件太大的话有问题

cookie 蛮好的，至少代码干净

token 还是要依托 cookies 吧，不然存哪呢，浏览器本地储存？

cookie!!!!!!!!!

@ochatokori ie7 表示不认识这俩东西（滑稽

用 httponly cookie 很安全

@libook 赞同你的观点，我题目描述的也是有问题。在我的观点来看：如果一项技术需要很多其他的措施来实现安全性（比如 cookie 预防 csrf 需要增加额外随机数校验），那么他的安全性获取是不便利的，可能我比较懒

@ChanKc 前端不知道，后端基于 Authorization header 的身份验证机制其实库也挺全的，spring boot+security 其实也是几行配置的事情