有后端同学给我讲一下判断是否登录吗？

jwt 在 header 里的话，header 加个 ref 不就能知道请求页面 URL 了？不就能防御了？

@freakxx key 本来就没法解决中间人劫持的问题，毕竟 http 是无状态的。想要限制可以用时间戳来生成签名，避免重放攻击。当然，如果攻击者连你生成签名的源码都有，没法根本排除，比如爬虫，只是增加了攻击成本

@justfindu #2 这个问题我也困扰过
吊销凭证如果价格 blacklist 是不是就失去了 jwt 的优势了
能否有更好的办法尽量避免 io

@wangyzj #23 设置更短的有效时间

@justfindu 那看来是没有及时生效的方案了

@wangyzj #25 看你自己系统取舍, 任何都是有 IO 的,

为什么会有密码放 cookie 里？不会呀

0.1 登录不登录，都会有 sessionId 的，用来标识属于相同的会话（比如浏览器 A 访问是 sIdA，浏览器 B 访问是 sIdB，浏览器 A 里刷新一下的这次请求用什么来标识属于浏览器 A ？就是这个 sessionId，不然服务器区分不了）
0.2 cookie, session 属于 HTTP 相关，都会有的，至于下面 1，2 的标题只是按实现来区分，并不是说 2 就没有 cookie 和 session 了
0.3 cookie 里用什么 name 来存 sessionId 的值，由各类型服务器自定

1. cookie + session
客户端: cookie 里存 sessionId （一串可以说是无意义的字符，maybe 类 uuid 之类的格式）
服务端: session，可以看做 Map1<sessionId, Map2<String, ?>>结构，存在服务器程序内存中
服务端收到登录请求，从请求里取到 cookie 取到 sessionId，然后把需要的用户信息存入 Map2 中
服务端收到后续请求，从请求里取到 cookie 取到 sessionId，然后取到 Map2 的用户即为当前登录用户
So: 当存在多台服务器来负载就存在一个问题，当前页面里的请求 A 分配到服务器 A，请求 B 却分配到了服务器 B，就会导致请求 B 是无登录用户状态。解决方案比如同一个请求 IP 分配到同一个服务器这样的初级方案，但不排除 ip 变更了，所以把 session 集中化存储是可行方案（比如存到同一个库 /redis 里）

2. token / jwt
简单理解 maybe(猜的):
服务器根据登录请求把需要的用户信息加密后返回，客户端拿到后存在 cookie 里
服务器收到后续请求，获得这个加密信息解密后即为当前登录用户
这样：服务端 session 也减少了存储，负载情况下也不需要单独的资源来集中存储 session。反正各有优缺点吧。

fix #27 比如 Nginx 搭的静态文件服务器就没有 cookie 和 session 了，所以上面说的也要做调整。懂我意思就行

推荐： http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html