【Http 每日一问，访问服务端的鉴权Token放在header还是cookie更符合?】 ...

结论先行：

• token静态的，稳定的，放在header里面。 典型场景 ，每次访问时需要带个静态token请求服务端，向服务端表明是谁请求，此时token也可以以为是个固定的access-key。
  
• token动态的，会失效，放在cookie里面。 典型场景，业务登录态token，存在有效期的，过一段时间可能会失效。
  

下面具体睁开下。
在选择将鉴权 Token 放在 HTTP Header 还是 Cookie 中时，需要思量安全性、使用场景和具体需求。
将 Token 放在 HTTP Header 中

优点

• 安全性：通过 HTTPS 传输时，Header 中的 Token 不会暴露在 URL 中，淘汰了被盗取的风险。
  
• 机动性：实用于跨域请求（CORS），因为可以在差别的域之间传递 Token。
  
• 标准化：通常使用 Authorization Header，符合 OAuth 2.0 等标准。
  

示例

1. curl -X POST https://company.com/user/v1/ \
2.      -H "Authorization: your_token"

复制代码

将 Token 放在 Cookie 中

优点

• 自动管理：浏览器会自动管理 Cookie 的发送，对比Header ，无需手动设置。
  
• 生命周期：可以设置 Cookie 的过期时间，到期自动失效。
  

缺点

• 跨域限定：默认情况下，Cookie 不能跨域发送，可能需要额外配置。
  

示例

1. curl -X POST https://company.com/user/v1/ \
2.      --cookie "token=your_token"

复制代码

小结：静态的，需要跨域的 放header里面， 动态的，有生命周期，到期失效或者需要端上失效的，放cookie里面。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。