优
1:Stateless - 无状态
2:Portable - 一个Token可以同时被多个不同语言/平台的后端接收认证
3:不依赖于Cookie(虽然JWT的存储方式还是建议使用HttpOnly+Secure方式存储,但毕竟有些人就是不喜欢Cookie)
4:性能问题(完善的客户端使用JWT可以减少与服务器间的通讯次数,像性别爱好这种非敏感信息,认证一次JWT完全可以LocalStorage存储)
5:Decoupled/Decentralized - JWT可以在任何地方生成,认证也能在任何地方
劣
1.没法让单独的一个 JWT token 失效(通常的解决方案是在服务端存储jwt token,但如此一来 就把无状态变成了有状态)
2.当一个用户更新了自己的个人信息之后,之前签发的 JWT token 中的信息将会变得过时