为啥认证 token 信息要放 HTTP header 里面呢？啥时候开始流行这种认证方式的

三楼觉得这个如何解释比较好...

不太明白你的意思，Authorization 字段不是 HTTP 本来的一个用法么

1. 支持跨域 跨域储存
2. Authorization 字段本来就是用来认证的

@lianyue 那非 Ajax 请求怎么自动带上这个字段，比如静态资源类请求，毕竟登录之后每个请求都要带上这个认证信息
@agagega 之前不都是 sessionID 放 cookie 的吗

为什么不呢？

Authorization 字段一般 是 api 通讯 前后端分离 结构
请求 静态资源为什么 要带上这个

客户端不是浏览器就没有 cookie 了呀

举个例子，小程序。

不仅是认证 校验 ajax 成功与否也是利用 header

A 公司：我看 B 公司的产品是这样的，我也就这样了。
B 公司：我看 C 公司的产品是这样的，我也就这样了。
C 公司：？？？我觉得这样搞比较好看。！！

@lianyue 没有通过登录认证的用户不给他网站的静态资源的这种需求应该比较正常吧？

@shapl
@mgcnrx11
好吧，我目前做过的都是需要用浏览器的

现在手机 APP 普及了，api 放 cookie 吗？用 Authorization 做 Authenticate 很合适呀

@CODEWEA 这个是什么意思？没有看明白，Ajax 成功与否不是看`ajax.readyState==4 &&ajax.status==200` 吗？

小程序就不支持 cookie

@Zzdex
@shapl
好吧，楼主没做过小程序

主要还是跨域问题吧

>没有通过登录认证的用户不给他网站的静态资源的这种需求应该比较正常吧？

@lvlv 这种很少见 cookie 限制的，老方案是普通资源不登陆不提供地址。非法用户猜到地址就可以下载。
比较重要的资源是真实地址不可访问，直接可访问的是 php 部分，php 验证后通过 nginx 内部重定向到实际文件。这个倒是依赖 cookie。

现在很多都是使用的对象储存，静态资源在独立域名，真需要限制在 1url 追加签名的比较多。

移动端 包括小程序这两年发展导致的吧

楼主是多久没有接触现代化前端了… 是不是还在用 jQuery 那种…