个人前后端分离项目中 token 是怎么处理的

最靠谱的就是 header 里带 token 啊，每次请求要校验 token 状态，
还有一种 jwt，我一直觉得不好用。

@ajaxfunction header 带 token, token 可以存在内存里，避开存在 localstorage，就像 csrf token. 登录如果需要 persist， 还是要用到 cookie.

本地 local storage 也存一个过期时间，请求前先判断是否到期，到期直接转到登录流程，可以少一次 API 请求，同时清除 local storage 的相关数据，比如 token 。

后端必然要做校验，jwt 本身就要检验过期时间，以防有人恶意提交或者意外提交过期的 token，单返回 401 可能不够，需要补充错误信息，有可能是请求相应资源的权限不够，比如要 VIP 才能取得访问，也可能是用户身份失效。两者处理的逻辑不一样。

直接用 oidc 防止不必要的烦恼

前端：“和服务器交互时再判断是合理的”

后端：WTF ？

cookie 有什么问题吗？

前端把 token 存在 cookie 里，并设置与后端一致的 expire 时间即可。

@xliao “前端：“和服务器交互时再判断是合理的”” 这话有啥问题？

4L 说的对