拜托人家说的是做登录认证用的
csrf 这东西弱的不要不要的，只防别的网站嵌个假链接让你点这么点儿事儿
只要你的接口遵守 restful，get 不改数据，这攻击就没效

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 你还是仔细看一下前面的帖子吧。上面几个人在说 jwt 要做 csrf 得依赖 fallback 方案了。
: 顺便说一下想拿 jwt 来代替 session 还有一个问题。jwt 如果要主动失效旧的 token，那用户就不得不总得重新登录。这通常是反用户体验的——别跟我说什么不安全，这就是业务需求。而 session 方案，存个天长地久都没问题。
--
FROM 101.98.83.*