别再用 JWT 作为 Session 系统，问题重重，后果很危险！

架构师大咖 架构师大咖，打造有价值的架构师交流平台。分享架构师干货、教程、课程、资讯。架构师大咖，每日推送。 公众号该公众号已被封禁JSON Web Tokens，又称 JWT。本文将详解：为何 JWT 不适合存储 Session，以及 JWT 引发的安全隐患。望各位对JWT有更深的理解！十分不幸，我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话（Session）。在本文中，我将说明为何这是个非常非常不成熟的想法。为了避免疑惑和歧义，首先定义一些术语：无状态 JWT（Stateless JWT）：包含 Session 数据的 JWT Token。Session 数据将被直接编码进 Token 内。有状态 JWT（Stateful JWT）：包含 Session 引用或其 ID 的 JWT Token。Session 数据存储在服务端。Session token（又称 Session cookie）：标准的、可被签名的 Session ID，例如各类 Web 框架（译 ………………………………