前端我们的token之前都是在前端浏览器保存的，但是现在需要我们node代码做服务转发，要求token保存在node服务，只返回给前端数据就行了。我觉得没有这个必要吧，这不是徒增工作量吗? token本来就是根据时间等等一系列加密算出来的，即使被其他人抓取也不能破解到用户信息吧？

1. 安全
2. 基本上，所有乱七八糟的保存 token 思路都很脑残
3. 就前端保存 token，提交 token，后端验证就好。想防止 csrf，就带上一个非标准请求，或者 SameSite

这都谁提出来的奇葩思路啊，前端不带 token ，那 node 怎么验证客户端的真伪？