在网上查了下，大部分观点都说，1.JWT已经滥用了，不管是什么场景动不动就上JWT。2.JWT一般应用场景是请求资源时的一种临时凭证，即资源请求完了，这个JWT就没有用了，下次在请求时会再次生成一个JWT.3.而登入验证的话，一般的cookie-session已经足够用了，没有必要用JWT来验证。
而且JWT还有一个问题就是，不能清除JWT（不能像session一样可以设置值为null,直接作废。），只能等待它过期，，JWT实现的原理简单来说就是，通过一定的算法，生成一个token签名的不可读字符串，保存在header头部，然后客户端请求服务端的时候，服务端会获取该token值，然后再次按同样的算法生成token与客户端的token做比较验证合法性。
所以我现在有疑问了，想请各位做过前后端分离的，说说你们是怎么处理的。1.是不是，前后端分离后，在登入的时候，直接用cookie-session来做登入验证呢，还是用JWT来做的。2.前后端分离后，前端每次请求API时，是不是都要携带一个token值，然后后端做验证，才决定是否返回结果