看了幾個問題和答案感覺自己明白了一些

token，放在cookie中，還是和直接使用cookie一樣，所以僅僅將token放在cookie是不行的；

需要在頁面上有一個地方存放token，以表單提交的方式提供給後臺，後臺可以校驗表單中的token和cookie中的token是否一致，一致則繼續校驗token，不一致直接返回；

既然頁面有token了為什麼cookie還要額外存放一份，因為如果cookie不存放token，就要localStore存在token，總之要有一個地方將token落盤，因為如果不將token落盤，下次你再開啟這個網址的時候，token就沒了，還需要重新登入重新獲取token；

為什麼放在cookie之後，別的網站獲取不到cookie裡面的token而自己的網站可以獲取token中的cookie呢？

因為cookie採取同源策略，只有相同域名的網頁才能獲取域名對應的cookie，

你在自己的網頁上 getCookie可以獲取自己的cookie；所以你自己的網站可以獲取自己的token，放到input中

而別人在其他域名無法獲取你的cookie，也就無法獲取你的token，所以當別人偽造請求時，token和cookie中的token是絕對不一致的；

至於想知道token放在cookie和localStore的區別的話，可以百度去查一下，我也不知道，我去百度了