一般后端设置好，生成一个sessionId，后端保存（数据库或者Redis中）

前端设置在cookie中存储，请求的时候带上（放head，或者后端自己解析cookie）

head：jwt token 自定义

cookie：setcookie 中存放 session（需要考虑跨域 安全内容配置）

本质上都是授权认证手段，各有千秋