你的 header 指啥？csrf token？还是想说在 set cookie？是放 jwt 还是 session id？完全看不懂你在说啥，都是客户端 request 往 header 里放东西好给服务端做验证，服务器 header 放东西发客户端发是行为艺术么？

【 在 exbf (忘记我，向前进) 的大作中提到: 】
: 别的不评价，你这点纠正一下。确实不一样的。你签一个带随机token的header下发客户端没有鉴权的意义。因为它无法让不带这个随机token的header无效。集群无法判断是否存在这个token，除非有中央存储。
: 所以本质上jwt没有处理这个问题的能力，任何一个header只要泄露，在生命周期内基本是有完全的对应使用权的。
--
FROM 101.98.83.*