这话说的，本来 session/jwt 也只管 authentication，到了 authorization 一步该访问数据库还是访问数据库。jwt 是一种自签名的机制，解决不了系统认为某些自己签发的信息不合法的问题，那自然需要额外的机制来验证。

在用户改密码这个场景下，jwt 依然完成了认证的第一步工作，所有非系统签发的认证都不会访问数据库。至于比较 timestamp，完全可以看成 authorization 的一部分，本来也要访问数据库，多一个 column 而已。

【 在 adamhj 的大作中提到: 】
: jwt流行起来本来就是为了做去中心化的身份认证吧，你再弄个timestamp出来，每次访问又要访问一下数据库，那我还要jwt干啥？
--
修改:eGust FROM 203.184.25.*
FROM 203.184.25.*