许多API使用令牌身份验证进行身份验证和授权。我认为令牌身份验证方案的最初用途是用于浏览器的Cookie,并且您不能保证您的API使用者是浏览器。
但是当你想到的时候,cookie几乎与人们发明的许多令牌身份验证方案完全相同,除了每个网络框架都支持和理解cookie并具有令牌身份验证的大部分功能,例如到期日期。 Cookie只有一个" Cookie:"和" Set-Cookie:"标头而不是通常的X-Auth-Token。为什么这么多API实施者会不遗余力地重新发明轮子呢?
为什么不让API客户端符合cookie的使用(因为他们无论如何都必须学习你的令牌身份验证方案)?