为什么那么多 web 系统使用 jwt token 来做身份认证

因为 cookie 不好用啊, 所以要用 token,
既然要生成 token, 与其自己想一套规则, 不如直接用 jwt 的.

是公钥验签防篡改，refresh_token 可以实现无缝续签，redis 黑名单控制 jwt 失效，安全和有状态之间做取舍。至于 cookie + session，无法满足多端需求

@leafre session 为什么无法满足多端需求

移动端又没有 session 的

那只能说明 你的项目还没有前后分离

公司的产品 web 端还是用 cookie 的（其实也可以说是把 token 放在了 cookie 里），没啥问题
客户端和小程序之类的用的自定义的 token 也没用 jwt，因为有大量踢人需求 jwt 太麻烦

@wshcdr #4 移动端为什么没有 session ？

JWT token 这个说法看着好难受。JWT 里面的 T 不就是 token 的意思吗，为什么还要在 JWT 后面再加个 token ？

@wangxiaoaer 手机上的 app，就是没有 session 的

因为一群猴子发现解析 cookie 太难了。格式没有太好的 spec 。就自己用 JSON 糊了一个替代品。

jwt + 客户端指纹 (IP+浏览器信息...等) 就可以防止滥用的成本

@wshcdr #4 session 是放在服务端的吧

@wangxiaoaer #7
先不说 ios, android 上的 cookie 存储你弄过吗? 多域名情况下 cookie 共享弄过吗?
按访问速度动态更换域名的时候 cookie 怎么跟着切? 更换用户登录的时候 cookie 怎么改变?

这时候用 token 不是更方便吗?

@zoharSoul #13

后端生成 token(此 token 为自定义的随机字符串，不是 jwt)，token data 存 redis 。客户端(web 、ios 、andriod 等)，自行存储。请求时带上 token，此时你想带到 header，body，query param 都行呀

这样不就满足服务端控制 token 咯？

存在即合理，市场决定的，移动端的兴起更需要 jwt 的出现。jwt 更多的是一种思想

@wunonglin #14 这不就是我的意思吗?

@leafre 感谢指出错误，私钥签发，公钥验证。refresh_token 、redis 黑名单确实能解决问题，但问题是需要前后端写代码去实现，而 cookie+session 方案，几乎不用写什么代码就具备这些功能。对于多端，cookie 存的只是一个 sessionID 字符串，请问支持 http 协议的端带上一个 sessionID 有啥困难，头里加 token 都没问题，带个 sessionID 就不能了？

@wunonglin 这就相当于重新打造了一套 cookie+session 方案实现。

@zoharSoul 这位兄台，其实所谓 cookie+seesion 方案，基本流程是后端生成一个 sessionID，发给前端，前端存起来，后续请求都带上这个 sessionID，实现了有状态的会话跟踪。但迫于种种安全问题，以及浏览器提供的便捷方式，如同域可带上这个 sessionID，跨域不允许； sessionID 返回后浏览器自动将其存储在 cookie 中；但是，以上是对于常规浏览器而言。既然你的是移动端 app 了，这个 sessionID 你想怎么玩就怎么玩，跟 token 使用毫无区别。

@aboat365 #18 不打造怎么对应不同的业务需求？