我是这样理解的: 没有Cookie的时候,人们对于每次都要登陆感到厌烦。出了Cookie以后,人们还想跨域访问,还想多终端访问,因为cookie是保存在本机,所以又放弃了它。后来,token诞生了,其实就是把request Headers 中的Cookie替换为了RequestURL中:…&token=…自己玩用Session+cookie,允许第三方调用session+token。 Cookie的生命周期:(可设置) 关闭浏览器的时候。 关闭当前页的时候。 永久。