@whileFalse #3

好玩!

@baiyi #83

不过, 虽然没有在服务器端保存 jwt 的内容, 但算不算给 jwt 添加状态了呢

@orFish #82

jwt 需要注销, 我的设想是: 服务器端既然不能控制会话状态, 那么, 可以控制用户资源状态, 给其添加一个注销时间, 时常 = jwt 的最大有效期, 每次 jwt 校验过后, 还要校验是否有符合注销时间

至于 key 被偷不再考虑的范围内

@newkedison #80

嗯, 作者的一个 [用无状态 JWT 实现一个精确统计在线用户数量的功能，再来重新说这个话] 直戳我的心上, 想了好久没想到解决办法......

扣分啊, 这种人对待技术的态度上可能会比其他的人要少

带女朋友<不带<没有

@newkedison #78

作者写的很有水平

jwt 一旦有状态, 那无非是个更为麻烦的 Session ID

而无状态的 jwt 又有好多缺陷, 很苦恼

作者本人似乎也在 V2EX

@jarlyyn #75

如果说到本质, 那都是 会话状态

@orFish #74

如果说 jwt 能保存所有的关于身份认证的会话状态, 又不会超出太多大小, 是不是就不需要服务器端缓存了

@ieiayaobb #69

服务器注销可以不需要存储所有的 jwt 内容, 只存储需要注销的 jwt , 根据注销时间判断, 这是我的看法,

@superboss01 #68

我对比的不是 jwt 和 cookie , 而是 session id 和 jwt

@kiddult #66

我认为 jwt 比 Session ID 好的一点在于对客户端来说是可见的, 服务器端只是校验

当然, 不好的点也有, 太大了,增加了每次请求的负担

@mywaiting #62

倒也不是没有项目经验, 只是之前想得太少

session 存在的必要也了解, 只不过太过纠结于存储在服务器端还是客户端了.

您的内容对我很有帮助, 感谢!

@kiddult 额，我认为是有区别的，jwt 本体含有所存储的会话状态

我觉得这里是问题的关键，我想再提出个问题，如果 jwt 不能包含所有内容，需要通过 id 等标示查找资源，那和 session 的区别呢……

@gamexg 嗯，这是个问题，cookie 据我检索到的资料是 4kb 的存储大小，所以，我只放入了少量权限方面无法替代的内容，例如用户 id，权限 id

我见到的大部分框架都是通过加密存储，解密读取的方式利用 cookie，而 jwt 则是验证，客户端也可以查看会话状态，使用方向不同，我认为在鉴权方面 jwt 更好用

@carlclone 好的，接受批评，谢谢指点

@cxh116 对，会话状态存在客户端就是我认为的无状态，rails 的做法符合，但是我认为缺点是客户端无法获得会话状态，因为客户端是不能有加密的能力

@所有人 感谢回复，手机浏览器不知道怎么感谢，回家后再点