在 web 应用程序中，通常会使用会话（session）来存储用户的身份验证状态。会话是一种存储在服务器上的数据，它与每个客户端的浏览器相关联。当用户进行身份验证后，服务器将创建一个会话，并将其 ID 存储在浏览器的 cookie 中。每次客户端浏览器发送请求时，服务器将检查请求中的会话 ID 是否有效。如果有效，则表示用户已经通过身份验证并已经登录，可以访问受保护的资源。否则，用户将被重定向到登录页面进行身份验证。

除了会话之外，还可以使用其他身份验证机制，例如 JSON Web Tokens（JWT）或 OAuth。无论使用哪种机制，验证器的作用都是确保用户已经通过身份验证并已经登录。

设计token的注意事项

设计登录用的 token 通常可以采用以下几个步骤：

1. 生成 token：当用户通过登录认证后，服务器需要生成一个 token 并返回给客户端。可以使用一些随机数生成器或加密算法生成一个随机的 token 值，确保每个 token 的唯一性。

2. 将 token 存储在客户端：服务器应该将生成的 token 值存储在客户端，例如将其写入客户端浏览器的 cookie 中。在后续的请求中，浏览器将在请求头或 cookie 中发送 token 给服务器进行验证。

3. 验证 token：在接收到客户端的请求时，服务器需要验证 token 的有效性。可以使用一些加密算法或签名来验证 token 的真实性和完整性。例如，可以使用 HMAC 签名或 JWT 来验证 token。

4. 设置过期时间：为了确保 token 的安全性，服务器应该设置 token 的过期时间。当 token 过期后，客户端需要重新进行身份验证，并且服务器应该生成新的 token。过期时间可以在生成 token 时进行设置，也可以在服务器端进行配置。

5. 保护 token：服务器需要确保 token 的安全性，以免被恶意用户盗用。可以使用一些技术来保护 token，例如加密、签名、HTTPS 等。另外，服务器还应该实现一些安全机制，例如限制 token 的使用次数、防止 token 被暴力破解等。