禁掉 sessionid 要求重新登录不是更好。你直接把 admin 禁用掉这算什么呢？

看你的意思，你是打算否认 csrf 攻击的存在吗？这是另外的话题了。有空再聊。

如果你不否认 crsf，那你仔细想一下，不维护 session 怎么在服务器保存 csrf token 用于验证客户端传过来的 token? jwt 能否实现这个目标。

【 在 eGust (十年) 的大作中提到: 】
: 不正常我把 admin 账户禁掉不行？为啥非得挑？
: jwt 一般也都是多组 key，直接废掉一组 key 行不？
: 你还是了解一下 csrf 怎么回事儿吧，我们 rails 打从第一个版本就带这东西了
: ...................
--
FROM 111.142.201.*