不正常我把 admin 账户禁掉不行？为啥非得挑？
jwt 一般也都是多组 key，直接废掉一组 key 行不？

你还是了解一下 csrf 怎么回事儿吧，我们 rails 打从第一个版本就带这东西了
难不成你觉得发个 request 填一个从 get 明文能拿到的 header 异常困难？人家 session id 都拿到了就不会重新 get 一个？

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 因为 sessionid 可以被吊销啊。比如检测到不正常的业务跳转就 invalidate admin sessionid. 或者运营人员禁用不正常用户写个脚本从 redis 里面清除它们的 sessionid. 你来说说用 jwt 这个需求怎么玩？
: 还有 csrf 是不是可以了解下。拿了 sessionid 也不一定能发 request 哦。
--
修改:eGust FROM 122.60.88.*
FROM 122.60.88.*