请问 spa 的应用，后端是 rest 的 api，这样的情况下， token 只存于内存中吗？ cookie 还有用吗？

1. 可行
2. 可以不用， cookie 存只是一种方式，你也可以考虑其他方式，只要你能拿到 token,然后请求时带上就行
3. 理论上也是可以的
4. 没什么错误，你说的方式能实现 rest api 的请求

你可以看看 jwt ，把验证放在 header 里面

有错误，如果放在 state 中，就相当于放在内存中，页面销毁后就没了，导致每次打开你都得重新获取 token 。如果不用 cookie 的话，可以把 token 存在 localStorage 中，每次页面建立之前（可以看看各大框架的生命周期），尝试由 localStorage 中获取 token ，然后拿到后端验证，如果过期了就重新登录获取 token ，然后把 token 放到内存以及 localStorage 中。如果内存中存在 token 就直接在内存中带上 token 进行身份验证（就是用户主页面一直没有关闭的时候），过期了再按上面走一遍。

多谢各位。

知道这些是可行的 但是每个环境不同 可能最后还是要根据实际需求实际应用了。