一篇文章带你了解什么是Token(看这篇文章，好像防csrf用的

Token的作用及原理

1、什么的Token

Token是首次登陆时由服务器下发，作为客户端进行请求的一个令牌，当交互时用于身份验证的一种验证机制，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码。

2、Token的作用

Token完全由应用程序进行管理，所以它可以避开同源策略
Token可以避免CSRF（跨站请求访问）攻击
Token可以是无状态的，可以在多个服务器之间共享
使用Token减轻服务器的压力，减少频繁的查询数据库。

3、Token身份认证的过程

用户通过用户名和密码发送请求
程序进行验证
程序返回一个签名的token给客户端
客户端进行存储token，并且用于每次发送请求
服务器端进行验证token并返回数据

4、Token的存储位置

存储在localStorage中

// 存储token到ls
const { token } = res.data;
window.localStorage.setItem('jwtToken', token);

优点：没有时间限制的存储，会一直存放在浏览器中。

缺点：由于LocalStorage 可以被 javascript 访问，所以容易受到XSS攻击。所以可以在一个统一的地方复写请求头，让每次请求都在header中带上这个token， 当token失效的时候，后端会返回401，这个时候在你可以在前端代码中操作返回登陆页面，清除localstorage中的token。（适用于 ajax请求或者 api请求，可以方便的存入 localstorage）另外，需要应用程序来保证Token只在HTTPS下传输。

存储在cookie中
优点：可以防止 csrf攻击，因为 csrf只能在请求中携带 cookie，而这里必须从 cookie中拿出相应的值并放到 authorization 头中。实际上cookie不能跨站（同源策略）被取出，因此可以避免 csrf 攻击。（适用于 ajax请求或者 api请求，可以方便的设置 auth头）

5、Token处理过期时间

在我的vue项目中，我将Token存储在了localStorage中，有处理过Token过期，我是这样做的：

created() {
    if (localStorage.jwtToken) {
      const decoded = jwt_decode(localStorage.jwtToken);
      //获取当前时间
      const currentTime = Date.now() / 1000;
      //检测token是否过期
      if (decoded.exp < currentTime) {
        //跳转到登录页面
        this.$router.push('/login');
        //其他处理
        ...
      } else{
        //没有过期的处理;
      }   
    }