推薦了解一下微信的access_token的原理，或者JWT的原理，你的思路與這兩套方案是一致的。

關(guān)鍵的地方是驗證token是否合法的機制以及token的過期策略等等，你目前的思路考慮的不夠全面。

驗證token可以有強弱之分，用戶執(zhí)行有安全風(fēng)險的操作的時候進(jìn)行強驗證，沒有安全風(fēng)險則采取弱驗證，避免發(fā)起過多的請求。

用react的話，自然是要引入一個全局狀態(tài)來管理token的，因為會話狀態(tài)是所有組件的公共狀態(tài)。

根據(jù)你的需求 可以分為兩部分
頁面權(quán)限和接口權(quán)限
1：有些頁面能進(jìn) 有些頁面不能進(jìn) 可以寫一個看門狗js 用來判斷是用戶是否登錄 要登錄的頁面把看門狗給加上
2：有些頁面能進(jìn)但是某些操作需要登錄才可以 這樣你可以把的邏輯放在接口上 比如你的前端登錄狀態(tài)是存的token 你請求這些接口的時候會帶上token 由后端來判斷登錄是否合法 并返回對應(yīng)的狀態(tài)碼 你再做處理

覺得 api 接口權(quán)限可以滿足，需要鑒權(quán)的頁面拉取數(shù)據(jù)的 api，如果未登錄，后端會返回 401，前端根據(jù)返回碼，給用戶提示。