我发现几乎所有人都被你这个伪问题带沟里去了

检测到不正常业务都是直接封权限。挑 session 是什么鬼，难道是天朝人力太便宜了，养了一堆吃饱了没事儿干的运维？公司局域网里电脑中毒了难道不是是拔网线，处理完了再拿回来，而是进安全模式接着凑合用？

敏感业务需要输密码确认，如果还不够的话采用多步认证，比如密码器、u 盾之类的。靠运维给用户使用错误擦屁股，真不知道该评价是企业级应用还是开玩笑

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 因为 sessionid 可以被吊销啊。比如检测到不正常的业务跳转就 invalidate admin sessionid. 或者运营人员禁用不正常用户写个脚本从 redis 里面清除它们的 sessionid. 你来说说用 jwt 这个需求怎么玩？
: 还有 csrf 是不是可以了解下。拿了 sessionid 也不一定能发 request 哦。
--
FROM 101.98.83.*