没错，完全就是这个道理。直接搞成 passwordless sso，少来什么改密码踢 login 这种幺蛾子。自己系统设计一坨，用了满足不了需求的工具，还反过来赖工具。

真要安全，敏感操作 mfa，业务流程多人审批，有的是办法。因为某个个人被黑而造成巨大损失，那绝对是系统设计的问题，赖不着技术

【 在 tange97 的大作中提到: 】
: 没错。JWT 为的不就是有效期内无需授权
: 服务嘛。搞这些就成了脱裤子fp了。
: --来自微微水木3.5.12
: ...................
--
FROM 122.58.115.*