首先是第一个问题，HTTP请求是无状态的，我怎么知道谁是谁？ 
解：让用户每次访问的时候告诉你它叫什么，怎么告诉？url，form/post body，cookie 

然后是第二个问题，用户访问的时候说他自己是张三，他骗你怎么办？ 
解：在服务器端保存张三的信息，给他一个id，让他下次用id访问。id保存在url，form/post body，cookie中。这叫做session 

现在是第三个问题，用户提交了一笔订单，你怎么保证他是在你的订单页面提交的？（referer可能是一个办法） 
解：在你订单页面中放入一个加密的信息，只有真正打开了订单页才能知道，提交的时候将这个信息返回回来。这个东西，可以被叫做token

cookie session