vue 项目 通过cookie判断用户是否登录？

存localstorage或者sessionstorage

token一般都存到本地或者会话缓存（sessionstorage）里面的，刷新页面也会一直存在。

存localstorage

既然后台设置HttpOnly应该是防止XSS攻击，而sessionstorage，localstorage虽然能解决问题但是使用它们也是容易受XSS攻击，这样后台设置HttpOnly就没有意义了，其实现今即使设置了HttpOnly也同样可以通过CSRF攻击，所以这里建议的是让后端取消HttpOnly，https加个证书防攻击效果会更佳一些。

你的问题出在了「判断用户是否登录可以使用 token 判断用户信息是否存在」，token 存在不代表用户信息有效。

既然使用了 Cookie 做用户验证，你无需关心 Cookie 里是 Token 还是其他东西，请求接口时带上（非跨域浏览器自动，跨域设置下 withcredentials ）就可以了。

应该让后台提供一个接口来校验当前 Cookie 存储的信息是否有效，比如 api/current_user，在路由拦截器中请求这个接口，若 401 就重定向到登录页。

前后端都要限制。
后端对进入页面后的接口请求进行权限控制，如果没权限返回特定状态码；
前端在路由跳转时候， beforeEach 里面读 vuex 的登陆信息，读不到就刷新用户信息，再存入vuex；