要做实时登出的客户端 API，是不是完全不适合 JWT 鉴权？每个请求都要验证 token 有效性，传输和验证签名看起来是在浪费资源

你这个就别用什么 JWT 了，一个 sessionId 发给用户，然后后端根据这个 id 来读取用户权限进行鉴权就好了。把一堆的授权信息放在 JWT 里面，纯纯的浪费流量

@iseki 你这个说法没有任何道理。对于前端来说，请求头放 JWT 还是 sessionId 没有任何区别，反正多了拿到什么就放什么。所以以后改成 JWT 也好，其他的什么也罢，都只要改后端登录和身份验证、鉴权逻辑就行了，用什么就改什么，和前端半毛钱关系都没有。

@xuanbg 我何时说跟前端有关系了？

@iseki 我只是说想改随时能改啊，不存在你说的把自己的路堵死的情况