jwt鉴权问题,全局修改浏览器在当前网站中的 Authorization 头信息

之前 nodejs 里习惯用 session 做鉴权，验证通过 req.session 直接保存就可以了。

后续不管是浏览器请求还是 ajax 都会拿到 session 。

现在打算改成 jwt ，看 w3c 标准说是放到 header 的 Authorization 里边，鉴权逻辑已经改好了，但是传递这个头信息有点麻烦。

例如： /login 验证完，json 返回 token ，后续 ajax 请求可以自己加 header ，但是浏览器直接访问的页面并不会主动带 Authorization 信息，直接访问某个 url 例如：/profile 还是未鉴权。

有没有办法全局修改浏览器在当前网站中的 Authorization 头信息呢？

Authorization HEADER 这种授权模式本来就不是为了 Page 模式设计的，它主要是为了服务/服务通讯和 SPA 设计的。
没有办法全局设置浏览器的 Authorization, 一般如果的确需要使用顶级 GET 请求后端并附带权限，会再 query 字符串上添加 token=JwtToken 。如果你不是当页面，使用 cookie/session 模式才是更方便的。

jwt 为啥不能放 cookie 里，瞎搞扯，服务端为啥不能同时兼容 Authorization header 和 cookie 传递，这种标准本来就是推荐而已，既然不好用那不是给自己挖坑么

Token 也可以放在 HTTP 的 response 头里，比如用 authorization 头来返回给客户端。
客户端不管是浏览器页面还是 App ，都可以做一个统一的请求拦截器，负责管理 token ，在登陆成功后自动读取返回的 token 信息并存储在本地，拦截每一个发送的请求自动读取本地存储的 token 信息加在 authorization 头里，根据认证策略自动刷新即将过期的 token 。

比如你前端页面使用 axios 发送请求的话，可以看一下 axios 的 interceptors 相关文档。

按照标准的话，就自己封装请求器自己往头信息加。
其实可以改一下服务端的逻辑，从 cookie 中取出来后再验证，放 cookie 是没问题的，可以利用浏览器机制自动把信息带上去。

我请求用的是 axios, 可以这么封装, 登录之后写 setToken, 需要注意的是, setToken 里必须再设置一下 axios.defaults.headers.common['Authorization'], 否则登录之后紧接着的其他请求不会带着 token, 没查到为啥, 所以设置一下比较保险, 之后所有的使用 axios 的请求都会带着 token 了.