基本思路都是设置自身的 cookie 来, 再次向服务端提交已经鉴权过的身份信息

• 设置cookie

• 保存session

• 使用 JSON Web Token 提升安全性

可以参考我写的文章
http://www.jianshu.com/p/8d13...

简而言之就是使用cookie构造session的过程。Web浏览器发起请求的时候，会带上http的header的内容。通常使用的是cookie，每次你刷新的时候，cookie也会自动发送给服务器。

无状态

假设你去一个蛋糕店买东西，店员每天都接待很多客人，并不知道你是谁。

cookie

店里搞了活动，推出了会员机制，蛋糕点给每个来的客人都发一个会员卡。以后每次来的人都检查是否有会员卡，没有就发一个，有了就知道是会员啦。这个卡就是cookie。

session

单纯的会员卡，只能区分是否是会员了，为了获取更详细的信息，增加了一个会员卡号。每次来的时候，店员检查是否有卡，然后把卡输入系统，查询是否是已经登记了的会员，并了解会员信息。给予相应的折扣哦~。这个卡号就是session_id。

因此浏览器的cookie可以存一个session_id，session_id关联了用户，其本身可以是随机字串，也可以是jwt等。每次发送请求的时候，浏览器会自动发送cookie。服务端就能读取解析这个cookie可以存一个

关联了用户，其本身可以是随机字串，也可以是jwt等。每次发送请求的时候，浏览器会自动发送cookie。服务端就能读取解析这个

用sessionID作为token，每次请求都带上token，后台判断这个token是否有效

cookie存储用户sessionID，刷新页面时发送身份匹配验证请求。用户存在登陆session即为登录状态，否则为未登录或登录超时。用身份验证的token也可以

cookie保存session id，前端请求服务端是header内带上此cookie，服务端接到后找此session id对应的session记录，找到则表示已登录，找不到则表示未登录