🧠 JWT 脑残粉的「魔怔」现场，以及我们如何优雅地打脸 – InfoGaps

有些人一提到 JWT 就跟中了邪一样，高喊「服务端无状态才是正义！存任何东西都是犯罪！」然后把 JWT 的所有缺陷包装成「分布式友好」「天生高性能」的 feature，简直是技术界的邪教现场。

别闹了，JWT 的本质从来就只有一句话：

「把一部分本该服务端查的东西，提前塞到客户端自己带过来，省一次数据库/缓存 IO」
仅此而已。

它从来不是银弹，也不是「有状态 session 的死敌」，它只是一个优化手段，而且是一个有明确适用范围和代价的优化手段。

常见魔怔言论 vs 残酷现实

魔怔言论	现实骨感	正确姿势
「用了 JWT 服务端就不能存任何东西」	笑死，JWT 标准里根本没这条规定	想存啥存啥，Redis、DB 随便用
「JWT 天然支持即时失效/踢人」	做梦，token 一签出去除非等到过期否则管不了	必须配合黑名单机制（Redis set / Bloom filter）
「JWT 一定比 session 性能高」	只省了「查 session 表」这一步，其他该查还得查	只在高并发读多写少场景才有明显优势
「把所有权限都写死在 JWT 里最安全」	一旦角色变更要等 token 过期或强制全量刷新	动态权限放 Redis，静态标识（userId）放 JWT

三种真实业务的正确解法（建议直接抄）

完全不敏感的业务（比如博客、文档站、开源项目的只读接口）

纯 JWT 就够了
payload 里塞 user_id + role + exp
过期时间设长一点（7~30 天）+ 刷新令牌机制
优点：真·无状态，横向扩张爽到飞

敏感不敏感参半的业务（90% 实际互联网项目都属于这一类）

经典组合：JWT + Redis 轻量混搭（强烈推荐！）
JWT 里只放永不改变或极少改变的信息：
json { "sub": "user123", "iat": 1731234567, "exp": 1731238167, "jti": "随机唯一ID" // 用来做黑名单关键 }
Redis 里只存经常变的东西（键可以用 jti 或 userId）：
redis # 键：user_status:user123 或 token_jti:abc123 status: "normal" | "banned" | "logged_out" roles: "admin,finance" # 角色随时可能变 version: 3 # 每次角色/状态变更 version++
接口分级校验：
- 查询类接口：只校验 JWT 签名 + exp
- 操作类/财务类接口：额外查 Redis 状态 + version（或直接拿 jti 查黑名单）

极度敏感的业务（银行、支付、核心交易系统）

直接上完全有状态短 token（几分钟过期）+ Redis 存储完整会话
或者 JWT + Redis + 每次高危操作强制重新登录/二次认证
别想着省那一次 IO，安全永远比性能优先

实际生产中最优雅的实现方式（已在线上跑几亿日活）

// 登录时
String jti = UUID.randomUUID().toString();
String jwt = Jwts.builder()
    .setSubject(userId)
    .setId(jti)
    .setExpiration(expireTime)
    .signWith(key)
    .compact();

// Redis 只存最小必要信息（TTL 与 token 一致）
redis.set("token:jti:" + jti, "valid", expireSeconds);
redis.set("user:status:" + userId, "normal|frozen|banned");
redis.set("user:roles:" + userId, "admin,user");

// 拦截器里这样写就天下太平
String jti = claims.getId();
String cacheStatus = redis.get("token:jti:" + jti);
if (!"valid".equals(cacheStatus)) {
    throw new TokenInvalidException("用户已被踢下线或封禁");
}

// 需要即时感知角色变更的地方
long cacheVersion = redis.get("user:version:" + userId);
long tokenVersion = claims.get("ver", Long.class, 0<span class="option-clickable" data-option="L">L. ;<span class="correct-mark">✅</span></span>
if (cacheVersion > tokenVersion) {
    throw new TokenInvalidException("权限已变更，请重新登录");
}

// 登录时
String jti = UUID.randomUUID().toString();
String jwt = Jwts.builder()
    .setSubject(userId)
    .setId(jti)
    .setExpiration(expireTime)
    .signWith(key)
    .compact();

// Redis 只存最小必要信息（TTL 与 token 一致）
redis.set("token:jti:" + jti, "valid", expireSeconds);
redis.set("user:status:" + userId, "normal|frozen|banned");
redis.set("user:roles:" + userId, "admin,user");

// 拦截器里这样写就天下太平
String jti = claims.getId();
String cacheStatus = redis.get("token:jti:" + jti);
if (!"valid".equals(cacheStatus)) {
    throw new TokenInvalidException("用户已被踢下线或封禁");
}

// 需要即时感知角色变更的地方
long cacheVersion = redis.get("user:version:" + userId);
long tokenVersion = claims.get("ver", Long.class, 0L);
if (cacheVersion > tokenVersion) {
    throw new TokenInvalidException("权限已变更，请重新登录");
}

总结一句话打脸所有 JWT 邪教徒：

JWT 只是一个「自带身份证的信封」，信封里装什么、要不要再查户口本，完全取决于你的业务，而不是某种宗教信仰。

技术选型永远只有一个标准：合适业务的就是最好的。

把 JWT 当成教条的，不是技术过硬，是脑子进水了。

常见魔怔言论 vs 残酷现实

三种真实业务的正确解法（建议直接抄）

实际生产中最优雅的实现方式（已在线上跑几亿日活）

总结一句话打脸所有 JWT 邪教徒：

发表评论 取消回复

发表评论取消回复