啥意思，没看懂，但跟旧的 session id 要不要通过验证是等价的，session 啥样 jwt 就啥样

你要搞清楚，jwt 跟 session 在本质上是没差别的，都是证明是由服务器签发的 token。不同的是验证方式，session 放在内存/硬盘里，jwt 不存，通过私钥来验证签名是由服务器发出的。session 需要把跟 token 对应的信息都放在内存/硬盘里，jwt 把对应的信息放在签名里面了。

其它的方面没有任何差别，任何你觉得需要放在服务器内存/硬盘里的东西，通过私钥签个名连带着关联的东西发出去就完了。甚至是不是 jwt 都不重要，只不过 jwt 标准化了，各个语言都有实现。

用 rails/django 这种最早一批的，肯定是默认自带 session 的。但是如今重前端的话，好多后端都是 micro service，裸 http 服务啥都不带，需要什么自己装 middleware。你可以选择 session manager，然后配置一下 redis 服务器之类，或者不折腾的话默认大概率存硬盘。同样你也可以选择装个 jwt 的中间件，然后生成几组 key，琢磨一下签出去的东西里面需要包含啥信息。这种情况下你觉得选 session 有任何优势么？

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 旧的 jwt 要不要通过验证？
--
FROM 122.60.88.*