@yaoliyc 刚需

@m939594960 既然觉得 JWT 不适合做网站授权，那么应该怎么做呢？
session ？

2 年经验 30k 算是底层了吧......之前给我 40k 我都不敢去，房贷生活费啥的首先就要吃掉大半工资了

才开始呢。。。

感谢老铁！

到底几点开始啊？有点懵逼

陈独秀你出去

如果你是他们的上级：你有什么要求，问题。就直接提出来。然后规定必须按照你的意见来做。就 ok 了！没人会说什么。
如果你们是平级的：那么就这样吧。挺好的。自己努力做到他们的上级再说。
遇到过这样的事儿多次。你觉得你挺有责任心，想把这个项目做好。可在别人心里：你很强势！你算老几？你凭什么指派我。你凭什么怎么怎么。。。所以多说无益。
人天生都是 jian 的！就是这样！
如果你们的工作配合非常的愉快。想怎么说就怎么说。（很少见）

@szdubinbin 这个确实是个方面

@alexsunxl 不是都说 angular 更难一点么。

@greatbody 从回答来说，看起来是这样的啊

@misaka19000 精力原因感觉不太可能两者兼顾。

@bazingaterry 也不是懒了。只是觉得可能更安全。我欠缺前端方面的知识。不好说服他。手机号，邮箱这些确实有点敏感。但是没想到有影响的地方。你们在做前后端分离的项目是不是冷数据几乎都缓存在本地？

@voocel "tymon/jwt-auth": "^1.0@dev"

感谢各位的解答！非常感谢！
@nealv2ex 的回答，之前我也有考虑。但是确实会有并发，后发先至的问题。既然是并发，先发，后发的请求都肯定是合理。如果参考你的处理的方式，肯定就排除掉了正常的请求。

@shoaly @des @retanoj 因为是前后端分离的 web 项目。js 生成的时间戳应该是本地时间。所以这个时间是很有可能和服务器不一致的。跨时区，篡改等。我之前做过测试。在服务器端放个含时间 js 的 html。然后去请求。确实打印出来的时间是我本地的时间。我电脑改了。显示的时间也改变了。其实我问的问题，主要就是纠结于此。如果是在后端的程序请求 api 那就没这个问题。我可以让客户端设置成和服务器端的一致。

@danielmiao 的方式令我思路大开。因为当前用的是 jwt 的 token。那么我可以让前端，每 30 分钟就去重新刷新获取新的 token。然后配置每次请求用 nonstr 来防止重发。记录 30 分钟内的 nonstr 集合。不在这个集合里面就是正常请求。这样即使过了 30 分钟，发起重放。实际上我的 token 已经变了。就没这个问题了。也不会有时间戳一致的问题了。

搭个车问一下。前端，不是 app。js 里面没办法存 scret_key，怎么来防止重放攻击呢？

我们家的叫土豆。
捡回来的时候，回家的时候看到狼牙土豆，想到的。
就一般看到的事物。好叫好记就可以了。
难道你还想叫他沈佳宜啊！

核心业务测试覆盖率几乎 100% 几乎无运营 bug
日均承载 pv 1000w 左右
我不信这样的人进不了 BAT 。

@ETiV 发了红包

楼上两位都是年入百万的么？
小城市，一年经验都已经封顶 8k 了。
不知道哪儿低了？

@imn1 好像确实是这样