1. token 其實就是訪問資源的憑證，一般是用戶通過用戶名和密碼登錄成功之后，服務器將登錄憑證做數字簽名，加密之后得到的字符串作為token

2. token用在用戶登錄城后之后會返回給客戶端，

3. token主要存儲有:
   3.1 存儲在localStorage、sessionStorage中，每次調用接口的時候發送給服務端（每次調用接口放在HTTP請求頭的Authorization字段里）
       優點：可以跨域
  	   缺點：沒有任何安全防御，很容易受到xss攻擊（簡單理解在輸入框輸入js代碼）導致token被盜取，因此要做好xss防御
   3.2 存儲在cookie中，可以自動發送給服務端
       優點：可以指定httponly，來防止xss，也可以指定secure，來保證token只能在HTTPS下傳輸
       缺點：不能跨域，而且不符合Restful最佳實踐，易受CSRF攻擊（簡單來說攻擊者盜用已經認證過的用戶信息，以用戶的名義進行一些操作（發郵件、轉賬等）CSRF不能拿到用戶信息，他只是盜用用戶的憑證去進行操作）。