不是说 session 能避免 csrf，我是说在 sessionid 技术下很容易解决。而在 jwt，还得引入 fallback 方案。额外的开发是小事，但我估计很多程序员估计会直接省掉吧。

要我看，jwt 需要在非常大规模的 web 开发，以至于 session 存储的开销成为重大问题的情况下才能应用。以及应用在非 session 相关时。现在被误用得太厉害了。

session 不要存储在 redis 里面这一条倒是很有意思。可以说说。

【 在 menghan (skybluee) 的大作中提到: 】
: 没有哪种方案是绝对安全的，都需要 trade off
: csrf 只会发生在 web 场景，为什么呢，因为 web 使用 cookie。走 cookie 通道的都有 csrf 问题，不论是 sessionid, jwt, login/password, apikey/apisecret, bblabbla.
: sessionid 的认证和 jwt 的认证不在于是否走 cookie "通道"，而在于是否自签名。
: ...................
--
修改:hgoldfish FROM 111.142.201.*
FROM 111.142.201.*