jwt的主要优势是可以直接携带业务级权限控制信息

不用像传统OAuth方案一样还要通过用户索引再发起一次到（单一入口）的权限明细查询

当然，和任何离线校验方案一样，远程吊销都是没法简单处理的

【 在 hgoldfish (老鱼) 的大作中提到: 】
: 你们都已经在用了。说服你们费时费力能赚几个钱。我去捡个瓶子就回来了。
: 反正以我的审美，让数据状态穿透可控制的边缘，并且依赖于不那么可靠的安全体系的这种方案，听起来就很蠢。
: 我猜这种方案在 java 社区流行，应该是因为以前的 java http client 缺少管理 session cookie 的能力。
: ...................
--
FROM 114.92.201.*