因为 sessionid 可以被吊销啊。比如检测到不正常的业务跳转就 invalidate admin sessionid. 或者运营人员禁用不正常用户写个脚本从 redis 里面清除它们的 sessionid. 你来说说用 jwt 这个需求怎么玩？

还有 csrf 是不是可以了解下。拿了 sessionid 也不一定能发 request 哦。

【 在 eGust (十年) 的大作中提到: 】
: 你在搞笑么……都拿到别人 session id 了，为啥不能直接发 request？
: 如果你说放 cookie 然后设 http only，那 jwt 也一样能放啊
: 拜托发帖的时候过一过大脑好么，真的是越来越觉得你小白了……
: ...................
--
FROM 111.142.201.*