用戶登錄之后，返回一個token標記用戶已經登錄，下次用戶提交頁面時，就不用加上密碼了。所以token的第一個核心是防止偽造，不能用戶沒有登錄，卻能憑空構構造出來這樣一個token。
防偽造的方式有二:
1,給token里添加一個id字段，并且把這個id記錄在redis里，下次收到token時，比對數據庫里是否已經由這個token了。
2,給token用私鑰簽名，下次收到token時，用公鑰解密。

第二思路就是jwt,第一個思路時現金互聯網很常規的做法。

然后是防篡改，通常要用token控制登錄時間，用戶不能自己篡改其中的時間戳，思路1,2都已經順便支持了，思路1里只需要在redis里存放整個token，而不是token id就行了。