在網上查了下，大部分觀點都說，1.JWT已經濫用了，不管是什么場景動不動就上JWT。2.JWT一般應用場景是請求資源時的一種臨時憑證，即資源請求完了，這個JWT就沒有用了，下次在請求時會再次生成一個JWT.3.而登入驗證的話，一般的cookie-session已經足夠用了，沒有必要用JWT來驗證。而且JWT還有一個問題就是，不能清除JWT（不能像session一樣可以設置值為null,直接作廢。），只能等待它過期，，JWT實現的原理簡單來說就是，通過一定的算法，生成一個token簽名的不可讀字符串，保存在header頭部，然后客戶端請求服務端的時候，服務端會獲取該token值，然后再次按同樣的算法生成token與客戶端的token做比較驗證合法性。所以我現在有疑問了，想請各位做過前后端分離的，說說你們是怎么處理的。1.是不是，前后端分離后，在登入的時候，直接用cookie-session來做登入驗證呢，還是用JWT來做的。2.前后端分離后，前端每次請求API時，是不是都要攜帶一個token值，然后后端做驗證，才決定是否返回結果