校验,授权,这块业界常用的是springSecurity,可以去学习下,可以用这个玩出花来,比如什么RBAC模型,要比单单使用cookie,session和jwt远远远远有含金量