讲真,别再使用JWT了

JWT常常被用作保护服务端的资源(resource),客户端通常将JWT通过HTTP的Authorization header发送给服务端,服务端使用自己保存的key计算、验证签名以判断该JWT是否可信。在Web应用中,使用JWT替代session并不是个好主意。我并不否认JWT的价值,只是它经常被误用。