@KuroNekoFan 想不到是哪个...

@JamesMackerel 嗯嗯，老铁说的对； csrf 关键还是解决浏览器自动带用户凭证的问题

@poorcai 我也发现了。。不知道咋搞

@encro 关于 jwt 作废这个我有点异议，和你讨论一下，因为 jwt 里面的信息都是在生成的时候编码好的，如果要主动作废的话，据我了解可以用配黑名单的方式；个人觉得 session 和 jwt 的使用跟是否前后端分离关系不到，不过确实是 APP、第三方调用的时候用 jwt 会更合适

@KuroNekoFan 老哥在快手？

打篮球正式上场前两天不也需要打个热身赛么？上场前还得做好热身，不然容易崴脚

@ftfunjth
@aguesuka
@cstj0505
@yuwangG 感谢老哥，我再去找找更好的解决思路

@freakxx 嗯嗯，确实比较类似，不过他是在提问

@gwy15 嗯嗯是的可以做到；不过我感觉要求 iat 大于阈值这个操作，如果后台强制某用户此时此刻就下线的话，这个阈值就得改一下，如果是 session-cookie 的形式的话，把它 session 清掉就行了；作废单个 jwt 确实可以使用黑名单的方式，不过就是需要点存储

欢迎交流和斧正

@optional 我琢磨琢磨，谢了老哥

一个是安全每一个是性能

@Asuka3 嗯嗯对的

@optional 更新的做法就是用滑动窗口做的呀，老哥说说哪儿错了？

@alalida
@optional
@yangbin9317
@pwrliang
@starcraft
更新了一波解法，之前写的比较急，感谢老哥指出问题

@alalida 嗯嗯谢谢，写东西比较急了，我的锅

@tt67wq 那我以后发帖把这个删掉吧，感觉太明显也不太好

@optional OK 我晚上再看看优化一次，欢迎老哥多批评，跟老哥学习一波