说起来4年前用play的时候，就见过它们鼓吹的stateless，确实也相对方便一点，逻辑也是secKey hash签名加上数据存客户端传递。JWT算是一个更加公开和规范的版本。
业务要求无需登录，APP级的最好直接上指纹等原生安全方案存登录信息，嵌入微信/支付宝就依赖平台的oauth能力按说也够了。

不过前面有人说redis不适合session或者是分布式redis很难？不知道何解？

另外，国内（我觉得也包括国外），所谓的企业级，并发量对redis根本形不成挑战啊，一个哨兵模式，不用分布式的redis就挺OK了。

【 在 eGust 的大作中提到: 】
: 安全问题从来就不是一个东西能解决所有的问题，你非把没多大关系的东西往这上面硬套，觉得有意思吗？github 你一个 form 发呆超过几分钟就保存不了，必须刷新。我们公司用的 google 账户，一个浏览器隔个三五天没用过，下次登录就得重新输密码。就算我天天上班用的电脑，时不时的也让我重新输入一次密码。
: 你觉得 csrf 异常重要所以还要单独 invalidate？我做个 jwt 设超时行不，5分钟没提交对不起保存不了。至于用户体验，你不是说 csrf 安全问题最重要么？
: 反正对我来说，不做 csrf 客户账户里面的东西别人动不了，get 看到的也是你自己的东西，屁大点儿事儿。钓鱼网站要是这种假链都做，那真的是活不了多久了
: ...................
--
FROM 123.127.54.*