你在搞笑么……都拿到别人 session id 了，为啥不能直接发 request？

如果你说放 cookie 然后设 http only，那 jwt 也一样能放啊

拜托发帖的时候过一过大脑好么，真的是越来越觉得你小白了……

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 所以说 jwt 更不安全。。
: 基于 sessionid 的认证可以搞 csrf，而 jwt 不行。
: jwt 本身是加密的，理论上当然不能被解密。但是黑客的攻击当然不是简单地破解里面的信息。比如可以入侵 admin 的计算机，取得这个 jwt 以后在别的地方入侵远程的系统。使用 jwt 的服务器没法简单地吊销 admin 的 jwt，除非它维护一个越来越大的黑名单。
: ...................
--
FROM 122.60.88.*