实现所谓的无状态，使用Cookie认证的话，不用session岂不是每次都要重新认证查一下数据库？我的具体实现是定义 一个秘钥 key="随机";user_profile表 里面放一个字段 token 用户注册的时候，分配一个随机值用户登录的时候，String userToken= md5(用户id+token+key);response.addCookie("user_id",用户id);response.addCookie("user_token",userToken);然后定义一个登录拦截器String userId = request.getCookie("user_id");String userToken= request.getCookie("user_token");String token=db.getUserTokenById(userId); //这里每次都要查询一下数据库String userToken2= md5(用户id+token+key);if(userToken.equals(userToken2){//登录成功} else{}这次方式虽然简单，但是还是能够有效防止伪造cookie的但是这里每次都要查询一下数据库，有没有更好的实现方式