针对于服务器可以自己验证签名，我倒有一点不解：
jwt是把明文和对应的签名一起封装到一个jwt中去的，那么黑客如果截获了这个jwt，然后伪装客户对服务器发信息，怎么破？


【 在 menghan (skybluee) 的大作中提到: 】
: 本质区别是
: cookie 对应于服务器上的 session。cookie 本质上是不受信任的，所以要通过 cookie['sessionid'] 到服务器上的 session store 里找 session，从而拿到用户信息。
: 需要全局的 session store，规模大了需要分布式存储，一致性、可用性代价高
: ...................
--
FROM 114.255.24.*