高频面试题：如何基于JWT实现用户身份认证

背后光:
我能说现在纯jwt登陆的简历一眼就是培训出来的吗

【回复】是不是培不培训，说实话面试官一看年龄和气质大概率都猜得到了，技术过硬才是王道。
【回复】回复 @哒哒达叶 :几份工作里或者经历里清一色jwt登陆。
【回复】回复 @背后光 :那就好，学点中间件分布式好了。
RustCargoTokio:
就是瞎讲，对session的理解完全不对。jwt属于session。session，会话，就是让服务器就知道你谁，只要是让服务器知道你谁的，都叫session。

【回复】对比传统cookie，在csrf问题上也是各有优势。用cookie的好处是不怕xss，前端并拿不到cookie，（http only），坏处是cookie是自动的，如果没有额外的csrftoken验证，是会被csrf攻击。token不是自动行为，是前端传的，跨站请求根本拿不到这个token。
南星10:
jwt 有个问题 在浏览器中 存储的数据 存在被 xss 读取的可能

【回复】回复 @写代码的吴同学 :jwt主要解决的是分布式的问题，原始cookie/session一套基本依靠集中式的Redis作为中心
【回复】回复 @氵木风 :那这样我用传统的session 会不会更好
【回复】jwt你可以只当作一中票据生成方式，存储位置依旧可以放在cookie里加httponly的
Howo昵称:
点赞投币收藏一条龙了，给发个文档呗[星星眼]