jwt一般也不放cookie吧，我见过的项目一般都是走http header，这样的方案在native app端和web端通用，后端不需要分两种情况处理。web前端持久化大多数也是放localstorage。cookie这种远古浏览器黑盒子，黑魔法太多，应用层不能主动控制细节，不同浏览器行为也有细微区别，安全上也有些并非总所周知的坑。
【 在 eGust (十年) 的大作中提到: 】
: 连这个东西的道理都不明白就在那强调重要性？要不给我们讲讲 py 的高大上实现？反正我们 rails 这边的实现弱的很，一半一半的内容，直接 xor 拼出来的后一半。
: 安全问题都是讲成本的，就像前面说的，你这么在意 csrf，jwt 不放 cookie 不就完了？
--
FROM 120.244.120.*