请求中发送 token 而不再是发送 cookie 能够防止 CSRF(跨站请求伪造)。即使在客户端使用cookie 存储 token,cookie 也仅仅是一个存储机制而不是用于认证。不将信息存储在 Session 中,让我们少了对 session 操作。
token 是有时效的,一段时间之后用户需要重新验证。我们也不一定需要等到token自动失效,token 有撤回的操作,通过 token revocataion可以使一个特定的token或是一组有相同认证的 token 无效。Having our API just serve data, we can also make the design choice to serve assets from a CDN. This eliminates the issues that CORS brings up after we set a quick header configuration for our application.只要用户有一个通过了验证的 token,数据和资源就能够在任何域上被请求到。
Access-Control-Allow-Origin: *