从你的补充看，jwt这个缺点大了啊。根本扛不住攻击（比如 大量invalid joken涌进来）
【 在 beep (菜Ｍ.喵星耗子) 的大作中提到: 】
: 讲得很好，赞
: 补充一点，jwt唯一的缺点我觉得就是无法即时invalid一个特定的token，如果业务需要，必须另作一个类似于session的小invalided joken池。因为不太可能短时间内遇到大量需要invalid的jwt，所以这个池子一般放单机内存就够了，不会使得架构更加复杂化。
: 另外值得提的区别就是，jwt服务端加解密稍微会多耗一点cpu，而session方案或者多耗点内存或者多耗点时间（硬盘io or redis 网络io）。
--
FROM 183.95.135.*