token存在cookie比较好，因为可以设置secure httponly防止xss攻击。后端用setcookie配置token，由于cookie跨域不共享，还需要在前端设置withcreditiral（不会拼了）为true。后端设置cors的origin不能为*️⃣