【 在 hgoldfish (老鱼) 的大作中提到: 】
: 你还是仔细看一下前面的帖子吧。上面几个人在说 jwt 要做 csrf 得依赖 fallback 方案了。
: 顺便说一下想拿 jwt 来代替 session 还有一个问题。jwt 如果要主动失效旧的 token，那用户就不得不总得重新登录。这通常是反用户体验的——别跟我说什么不安全，这就是业务需求。而 session 方案，存个天长地久都没问题。
这个没看懂啊，你可能不太了解jwt的常见用法，一般jwt里面的数据除了等价于sessionid的那个id，还会附加issue time和expiration time等，你要是业务上需要三年有效的token，签jwt的时候打个三年的有效期就好了
--
FROM 120.244.120.*