几个疑问，
1 如果把token存在cookie里是不是就相当于session？还是说session带有更多user状态信息？token只能凭借token里的userid去执行业务代码？sessionid和浏览器编号是啥关系？
2 token如何避免重放攻击？除非本地生成唯一id和token一起上传并要求服务器算法校验，否则我把token放到其他的http client上发起请求不是一样可以？
3 token是应该和客户端绑定吗？比如用户从不同的设备登录生成不同的token，有些产品会让其他token失效，有些可以共存，这个问题怎么看待？

一定要喝 http://www.52im.net/thread-1686-1-1.html  这篇一起看