GET 方法有没办法传递 token

这标题取的，你这种情况和 get post 没关系啊，只是浏览器地址栏只能 get，是接口就放尾巴上，不过打开一个接口这是什么需求？？如果打开网页，还可以将这个网页放行，里边的接口再用 js 加上吧

@yeqizhang #21 是服务端渲染页面，第一次 get 请求时就需要知道是否有权限访问，没 token 就没法判断

@balabalaguguji 那只能加尾巴或者 cookie 了

@malaohu #7 嗯，整个中间页应该是可以的

@yitingbai #15 面对所有用户的网页，不能依赖插件

@Yourshell #16 这个方式好像是弹出系统的登录框？怎么设置 token 到头部还是没看懂

cookie 被设计出来就是干这个的

jwt?

在古代，cookie 还没有被发明的时候，程序员就是在 URL 后面加上 sid=xxxxxxxxx 这样的方式记录登录状态的。

当然，这样是安全性极差的。

GET 请求也是可以有 body 的，不过默认浏览器不会用。你写个浏览器就可以了。。

你倒是说为啥不用 session+cookie 啊

等等…就算是服务器渲染也可以加脚本吧。现在还有不用 xhr 的网站？

让用户装插件不现实，我觉得你可以把 token 拆成几部分，混淆到 url 里，取的时候按照一定规则取就好了，有需要的话，再将这种 token 失效时间搞的短一点。

URL 里加参数啊

我也很烦在 head 里面设置 token 的接口,

每次出问题，想调试起来非常不方便。

但是后端大佬定的，没得法

感觉这种自动添加的浏览器打开 URL 的好像只有 cookie 的方式，cookie 会每次请求自动添加到 header，其他的好像都需要处理

@balabalaguguji 不能做加密操作？

然后至于 token 的放在 URL 里面被窃取，我觉得有两种方式

一种，加上 token 和 IP 绑定，这样如果 token 被窃取，但是网络环境不一样可以防御一些，但是无法防御在同一公网出口的情况

另一种就是 vue 的方式，加载统一入口，然后通过 ajax 获取动态路由或者其他的路由方法鉴别权限，这样不用拦截前端界面，由前端自行判断拦截，后端主要做接口拦截，前端在统一做接口处理，如果未授权就跳转无权限界面，如果未登录跳转登录界面

我们公司有个后台就是需要在浏览器插件里面添加 header，应该是一个样。

@xiadong1994 #31 因为网站一早就是用的 token 现在某些页面改为服务端渲染才遇到这个问题，另外 token 更好做负载均衡等