最近在看前后端分离，有点迷惑。用户状态该怎么管理？

登录后给个 token，埋个 cookies 呗

我们这里是前端有 session 知道谁是谁，后端不鉴权。

确切的说，是后端信任前端告诉后端的来源用户。

@whileFalse 这样做有问题的，肯定不能信任前端的任何数据

@tedcon #4 前端只需要告诉后端 session id 是多少就行了。

@tedcon 你说的前端和我说的前端好像不是一个概念。
我们是前端 node 服务器，后端 java 服务器。所以我说的前端是 node 服务器知道用户身份，java 服务器信任 node 服务器。

@whileFalse 前后端分离难道不是前端是完全跑在浏览器里的？ node 服务器负责鉴权？ node 服务器不算后端吗？

@mht 每一个请求要加 token，感觉好不优雅

登陆获取 token,或后端扔 cookie
包装一下请求，自动带上 token，可以在这里处理全局的问题

@awing 加 token 没问题，大家都这么做，放 cookie 里用户又没感知

Jwt

后端丢 token 再 cookie 里只读

我理解的前后端分离是前端可以脱离服务器单独开发，开发的时候借助一个 http 服务器和 http 代理就好了，至于最后发布的时候跑在什么 node 上还是 java 上都不用管，那么用户管理和前后端分离没有什么关系，还是用老的方式，不要误以为把页面放到一个 node 上面就是前后端分离了。

@awing #7 我们的前端是页面加 node，node 里面有逻辑的。

@guoshencheng1 把页面放 node 服务器（依赖）上不能算前后分离吧？ 前端后端通信用 json 之类通信才叫前后分离吧？怎么可能没关系？那如何验证请求是登录之前发出的还是登录之后发出的？

@whileFalse 前端界面加 node 是算服务端依赖 node 吗？还是用 node 语法写然后编译成普通 js ？