IT资源栈这篇文章猛烈抨击了 JSON Web Token (JWT) 在现代应用中的滥用现象。作者指出,JWT 核心承诺的“无状态认证”在实际开发中往往是伪命题。最致命的缺陷在于无法有效撤销已签发的令牌,除非等到过期,否则必须引入服务端黑名单,这实际上引入了数据库查询,使其变成了性能更差且更难维护的“有状态会话”。文章还批评了刷新令牌机制,认为这是为了修补 JWT 安全缺陷而引入的额外复杂度,导致前后端开发成本激增。在性能方面,非对称加密验证的开销甚至接近 Redis 查询,所谓的计算优势并不存在。作者建议,对于大多数第一方应用,应回归传统的 Session Cookie 或不透明令牌配合 Redis 缓存,仅在外部联邦身份认证等特定场景下才使用 JWT。这篇文章引发了开发社区关于技术选型盲目跟风的深刻反思。
事件分析
JWT 的流行源于微服务架构早期的“去中心化”狂热,开发者误以为只要客户端能自证身份即可,忽视了服务端风控的必要性。本文的价值在于揭示了技术选型中的“货物崇拜”现象,即盲目模仿大厂方案却忽略了实际约束条件。从产业角度看,过度的 JWT 实施不仅显著增加了维护成本,还因难以实时撤销而埋下安全隐患。随着现代应用对安全合规要求的提高,回归简单的可控会话管理正成为新的工程共识。这不仅是技术争论,更是对“复杂度虚荣心”的一次打击,提醒架构师在安全设计上应优先考虑可控性与可维护性,而非理论上的架构纯粹性。
💡 核心观点:JWT 在绝大多数业务场景中属于过度设计的累赘,回归简单的会话管理才是工程务实的体现。
原文链接:Hacker News
评论前必须登录!
立即登录 注册