我知道你是故意那么说的

jwt 这东西都十多年历史了，最后一版到现在也有7年历史了。真要是槽糕到不该用，那首先就不可能7年了还没改，其次这么久了就算后知后觉也够整个行业开始抛弃它了。

总之，改密码踢 login 是合理的使用场景，放 authorization 里做也完全是合理的解决方案。非要构造一个现实中不存在的场景，然后说满足不了需求，那就纯粹为了杠而杠了

而且话说回来，session storage 本身的问题也很多，比如怎么 auto scale，在 cdn 场景下怎么跨区同步。具体到改密码踢 login 这个场景，莫非要给 storage 上个全局锁再整个走一遍？说的好像放在 session 里就自然解决了似的，反正要我设计的话，跟 jwt 一样的解决方案。要是 session 那么完美，为啥 jwt 会有市场？

【 在 beep 的大作中提到: 】
: 没有业务的心跳嘛，没必要，有业务动作的时候再去确认用户表就ok啦
: 我是觉得也只有这个心跳的奇葩需求可以只鉴权不认证。。。
--
FROM 203.184.25.*