使用jwt验证，由于服务端不保存用户信息，因此不用做sessonid复制，同时用户发请求给服务端时，前端使用JS将jwt放在header中手动发送给服务端，服务端验证header中的JWT字段，而非cookie信息，这样就避免了漏洞攻击，例如jwt认证中token生成过程：

const crypto = require("crypto");
const base64UrlEncode = require("base64url");
//头部信息
var header = {
"alg": "HS256", //签名算法类型，默认是 HMAC SHA256（写成 HS256）
"typ": "JWT" //令牌类型，JWT令牌统一为JWT
};
//负载信息,存储用户信息
var payload = {
"sub": "1234567890",
"name": "xiao jie",
"admin": true
}
//服务器秘钥，用于加密生成signature,不可泄漏
var secret = "chaojidamantou";
//header部分和payload部分
var message = base64UrlEncode(JSON.stringify(header)) + "." + base64UrlEncode(JSON.stringify(payload));
//HMACSHA256加密算法
function HMACSHA256(message, secret) {
return crypto.createHmac('sha256', secret).update(message).digest("hex");
}
//生成签名信息
var signature = HMACSHA256(message, secret);
//header和payload部分内容默认不加密,也可以使用加密算法加密
var JWT = message + "." + base64UrlEncode(signature);
console.log(JWT);