cookie、安全

cookie安全
设置HttpOnly（防止XSS攻击）
对ip进行做加密（ip会变动，需要考虑）
持久化加密的key，在数据库和cookie中都存储key
https(能确保传输中不被暴露)
token值在每次使用后都会更新
(cookie设置httponly，时间周期尽量短。为防止被盗取cookie登录，可以根据需求，设置其他限制，如根据企业ip，浏览器标示，referer等来作为判断，即使cookie对了，但是这些信息对不上，也是要重新登录的。)

Cookie值中保存了用户的IP值，这样每次登录的时候判断IP地址和当前请求的IP地址是否一致