JWT 可以实现 stateless authentication，但是 refresh token 不是无状态的，那 JWT 的意义是什么？

@qwerthhusn 做到后面你会发现还是有状态的

看业务需求吧，jwt/stateless token 的好处在于分布式场景，refresh token 纯属后来发现登出的场景不得不用到。但是 access token/refresh token 还是有实际意义的，至少使用 access token 的请求不需要走内存 /redis，而用 session 的话你每个请求都得查 session 。对于高并发场景的意义还是比较大的。

我觉得好多人因为 jwt 有无状态这个特性很纠结，好像非用这个特性不可，而忽略其他重要的特性。如果你深入看 jwt，就能理解 jwt 的无状态只是一个附带的特性，不是主要特性，是可以做成服务端无状态，而不是必须做成无状态

@Solace202 这样不还是有状态的了吗

那种带 refresh token 的，当 session id 用。也有服务端不存储的。

这种基于 Token 的验证方式，其实与证书的用法完全一致。

证书发出去以后，所有客户端都可以离线自行验证，只要证书没过期，就认为是有效的，这对绝大多数情况足够了。

同时 CA 那里还有个吊销列表，对于要求较高的客户端，可以定期更新吊销列表，并在证书的有效性验证中增加一步，检查证书是否在吊销列表中。

Token 的目的是离线验证，即使有吊销列表，你也不能实时使用最新的吊销列表来查验，否则不如直接做成有状态的了。

无状态是一种妥协，降低部分安全性，提高集群性能。它并不适合所有场景，不要硬往有状态的特性上面靠。

看到很多人都在抱怨 JWT, 我就放心了
JWT 嘛其实天生就是残的...

其实这个问题简单 。只需要在 Redis 里面重新校验一次 Valid 就好了 。Redis 也可以手动过期

如果要主动刷新 token，其实可以不用 jwt