jwt流行起来本来就是为了做去中心化的身份认证吧，你再弄个timestamp出来，每次访问又要访问一下数据库，那我还要jwt干啥？

【 在 eGust 的大作中提到: 】
: 前几天不知道为啥，hacker news 上又的确对 jwt 集中攻击了一番
: 既然攻击的点是老生常谈，那回答自然也是老生常谈：
: 数据库里 user table 加入一个 timestamp，只有该 timestamp 之后的 jwt 才有效。
: 说实话，合理的使用场景也就用户改密码，之前所有的 token 全都失效。如果系统本身就是一个 passwordless sso，那这个应用场景根本就不存在。所以结论是，jwt 该咋用还是咋用，系统设计明白了根本不怕忽悠
--
FROM 106.4.209.*