你还是仔细看一下前面的帖子吧。上面几个人在说 jwt 要做 csrf 得依赖 fallback 方案了。
顺便说一下想拿 jwt 来代替 session 还有一个问题。jwt 如果要主动失效旧的 token,那用户就不得不总得重新登录。这通常是反用户体验的——别跟我说什么不安全,这就是业务需求。而 session 方案,存个天长地久都没问题。
【 在 eGust (十年) 的大作中提到: 】
: 给你找台阶下……都不新鲜了还问 csrf 怎么生成这种不用动脑子的问题
--
FROM 111.142.201.*