授权验证选择 jwt 还是 session

分布式涉及到同步问题，使用 redis 需要考虑吗

都说 jwt 适合单次或短时校验。
另外 jwt 有点问题就是服务端不能主动控制登出，另外安全问题也得考虑。

只用过 session 觉得挺好哈哈 不同场景不同使用吧

就是鉴权选择分布式还是集中的吧

JWT 过期时间设短一点，对于实时性要求不高的应用足够了。

两者可以同时用的——JWT 外加用户状态用于首次登录，session 用于跟踪。当然 session 要基于 redis、文件或其它独立存储做定制，并且此时 JWT 仅相当于 cookie。

* jwt 只适合短期认证
* jwt 是把状态保持从服务器移动到了客户端
* 只要你不得不在服务端保存状态（比如你说的服务器可控强制踢出），那么 jwt 就不在合适，jwt 付出了传输内容膨胀的代价，就为了让服务器不保存状态，所以一切需要在服务器保存状态的需求，都不适合 jwt
* session 你也可以不用，你完全可以自定义一种比 jwt 简单的多的 token，然后把 token 的保存后移到缓存层，这样你的 http 接入层仍然是无状态的