token应该存在cookies还是localStorage?

存在localStorage

优点

• 很方便
• 容量比cookies大

缺点

• 容易收到XSS攻击

存在cookies

优点

• 通过设置HttpOnly和Secure字段，就不会像存在localStorage一样那么容易收到XSS攻击
• 可以设置过期时间

缺点

• 如果服务器要求你把token放在请求头中传过去，那么就没办法用cookies存token
• 容易收到CSRF攻击
• 容量比localStorage小，如果token很大的话就只能存localStorage里