Токен - это просто ещё один куки-секрет, случайно генерируемый. Он в браузере при получении страницы и значится в консоли - в разделе Cookies.
Как пример, стандартная "проверка на кросс-доменные атаки" (csrf) - сервер отправил токен со страницей, а потом его же проверил-идентифицировал при POST-запросе. Всё просто: он отдал - он же и проверил. И вот эта система в принципе не работает без установки модуля express-session - потому что сама "сессия" основана на куках (или токенах - что, практически, тупо одно и то же).
|