JWT 和 Session 认证有什么区别？各适合什么场景？

核心区别在于状态存储位置：JWT 是无状态的，用户信息编码在 token 中由客户端持有；Session 是有状态的，用户信息存在服务端，客户端只拿一个 Session ID。这意味着 JWT 天然支持水平扩展（任何节点都能验签），但一旦签发就无法主动撤销；Session 可以随时销毁，但多节点需要共享存储（如 Redis）。选择依据：分布式系统、移动端、跨域 API 选 JWT；需要即时吊销权限、传统 Web 应用选 Session。## 追问**JWT 无法主动撤销，用户登出怎么办？**常用三种方案：黑名单（Redis 存已撤销 token，过期自动清除）、短期 access token + refresh token 轮换、token 版本号（用户表加 version 字段，签发时写入，验证时比对）。**JWT 存 localStorage 还是 Cookie？**各有利弊。localStorage 容易被 XSS 窃取；HttpOnly Cookie 防 XSS 但需额外防 CSRF。生产推荐 HttpOnly + SameSite Cookie + CSRF Token 双重防护。**Session 在微服务下怎么共享？**用 Redis 集群做集中式 Session 存储，或用 Spring Session 等框架透明化处理。本质是把有状态存储从本地内存移到分布式缓存。**JWT 的 payload 能放敏感信息吗？**不能。Payload 只是 Base64 编码，不是加密，任何人都能解码。敏感数据只存引用 ID，详情查库获取。## 写段代码javascript// 短期 access token + 长期 refresh tokenconst accessToken = jwt.sign( { sub: userId, role }, SECRET, { expiresIn: '15m' });const refreshToken = crypto.randomBytes(40).toString('hex');await redis.setex(`refresh:${userId}`, 7*86400, refreshToken);