不准确吧，不能把jwt和cookie对立对比。jwt也可以放cookie里，自己设计的cookie token也可以加上密钥签名的部分。

【 在 menghan (skybluee) 的大作中提到: 】
: 本质区别是
: cookie 对应于服务器上的 session。cookie 本质上是不受信任的，所以要通过 cookie['sessionid'] 到服务器上的 session store 里找 session，从而拿到用户信息。
: 需要全局的 session store，规模大了需要分布式存储，一致性、可用性代价高
: ...................
--
FROM 120.244.120.*