我明白你想知道 jwt 到底比 session(id) 方案好在哪儿，其实我已经说了，可以通过算签名比对的方式不依赖大规模分布式存储。

但是你觉得这有什么了不起，对不对，session 的方案已经很全很完善了，依赖一个存储有啥问题，更何况说不定可以使用 redis，redis 又快又方便，为什么要开发另一类东西。

我想说，你对大规模，对什么叫分布式存储，一无所知啊
我觉得再说就得重开一个题目，作为对一个合格开发者的尊重，我也不适合在这儿讲课，又不是老师，可以自己去查查，开发和维护分布式存储有什么难的


【 在 hgoldfish (老鱼) 的大作中提到: 】
: 不是说 session 能避免 csrf，我是说在 sessionid 技术下很容易解决。而在 jwt，还得引入 fallback 方案。额外的开发是小事，但我估计很多程序员估计会直接省掉吧。
: 要我看，jwt 需要在非常大规模的 web 开发，以至于 session 存储的开销成为重大问题的情况下才能应用。现在被误用得太厉害了。
: session 不要存储在 redis 里面这一条倒是很有意思。可以说说。
: ...................
--
FROM 111.193.254.*