jwt生成的token后端需要保存吗

tokyo 工厂里的 tokyo 到底是怎么生产出来的？它能不能像电能一样储存在电池里？还是和手机流量一样无法储存，随用随消耗？答案其实是后者。 tokyo 并不是实体的资源，没法储存，只在你 问 ai 做答的过程中，实时核算实时的消耗。当你像 deepsea 这类大模型发送问题， ai 进行思考并生成回复时，背后的高性能 ai 服务器会高速运转，持续耗电完成整套运算。逻辑系统会精准统 问题回答问题里的所有文字标点，以此核算消耗成本。由于大模型原声适配英文逻辑，我们的中文提问大多会先转为英文，再变异为数字进行计费统计换算参考，以 一个中文字约消耗一点二到一点五个 token， 成本上也是有明显区别的，用户提问成本更低， ai 思考作答更贵。换算下来，提问约每百万字两元， ai 回复可达每百万字八元。核心原因是 ai 需要复杂推理运算。除此之外，日常使用豆包 deepsea 时，为了保 障回答连贯，贴合语境模型会自动带上你们过往的全部对话记录，一并运算，这也是 token 消耗飙升的关键原因。简单来说， 生产 token 只是通俗比喻，方便大家理解。 token 本质是 ai 算力的计量单位，就像手机流量的 m b g b 一 样，是消耗统计标尺。我们每消耗一次 token， 实际消耗的是 ai 芯片的损耗， 机房算力资源，场地设备的折旧，巨额的电费，还有大模型研发工程师、数据中心运维人员的技术成本。记住核心的结论， token 只是计量工具，不是可以买卖储存的实体商品。

在通过 gwt 实现登录的时候，我们经常会面临两难的选择，如果要保证用户的体验，将 token 的 时间设置的过长，有可能就会导致黑客截取到 access token， 造成安全的风险问题。但是如果我们为了保证安全， 将 token 的 时间设置的过短，那用户呢，就会出现频繁的登录，体验非常的差，这就是 g w t 当 token 下会面临的两难的一个问题，那难道安全和体验不可以兼得吗？其实我们可以通过双 token 的 机制来解决。当然关于 g w t token 的 续期方案， 除了双托管的机制以外，还可以通过滑动窗口、前端无感刷新以及呢强制重新登录。另外三种方案我都整理进了我这一份 java 一 百万字高平面质资料当中，里面包含了 java 所有核心技术上的高平面质体， 并且还有各个工作年限的简历模板，大家需要的可以直接拿去。那这个双托管机制是咋回事？其实就是在登录成功之后给客户端 颁发的两个托管。在之前我们 g w t 传统的这种方式下，就只有一个叫做 x s token， 它里面就包含了用户的凭证，用户的一些信息，包括超时时间，它的时效一般会比较短，比如说就 半个小时或者一个小时，所以如果只有 access token 在 时效比较短的情况下，就会频繁地导致用户登录超时，那这个时候另外一个叫做 refresh token， 它就能够帮忙了，它是专门用来给 access token 进行续期的，并且它的时效通常会比较长，比如说七天八 月都可以，那我们通过整个请求流程来看一下这两个托管是怎么回事。当用户首次登录通过账号和密码，在后端验证成功之后呢？后端就会给前端颁发这两个托管。那 access token 呢？它会在每一次用户请求的时候，在请求头当中 进行携带，后端通过过滤器或者拦截器来验证用户的身份或者是否超时。那 refresh token 它通常会保存在 http only key 当中，防止被恶意的脚本窃取。整个过程是这样的，当 access token 过期之后，用户会导致四零幺登录超时，那在只有单个 token 的 情况下，用户它会自动跳转到登录页那。为了提升用户的体 验，我们加入了 refresh token。 当用户登录超时了，把前端存入在 cookie 当中的 refresh token 发送给后端， 那么后端验证成功之后呢，会给前端颁发一个新的 access token， 那 么下一次用户携带新 access token 去访问后端，所以整个过程虽然用户它触发了超时，但是实际上已经通过 refresh token 进行了重新认证。当然有同学会说， refresh token 它不是也有安全问题吗？首先我们刚说了 refresh token， 它是放在 http only cookie 当中的，但 我们通过浏览器的 f 一 十二其实也可以轻松地看到。但是 refresh 它依靠自身的有效期也可以进行安全防护，比如你给它设置七天，那么哪怕你的 refresh token 被窃取了，有效期也就那么七天。当然，我们还可以依靠在后端一些异常检查，比如后端识别到了用户，它出现了不同 ip 的 异地登录，那由于 refresh token 我 们会在后端也进行保存，比如说保存在 reddis 或者数据库当中，所以我们可以 主动的在后端主动地去销毁掉 refresh token。 当黑客试图用偷来的 refresh token 来换取权限的时候呢，服务器直接拒绝，这是单 token 很 难做到的。所以通过双 token 机制，我们利用短效的 access token 保证了用户的认证。利用 refresh token 保证了用户的体验，让用户的时效状态呢，能够更久地持续，让用户在无感的情况下能够刷新 token， 这样真正做到了安全和用户体验兼得。这也就是为什么 刷托管机制，它是 g w t 以下刷新托管的一种主流实现方案的原因。好，我就给大家讲，这里我们下期见二零二六年准备找工作跳槽的小伙伴，今天这个视频啊，就是为你准备的，我花了几个月时间把我们最近大几千。

最近很多人起一个号子在教你去靠 token 出海这个实现你这个所谓的财富自由。但很多人连一台服务器怎么回本，你这个 token 成本到底怎么算都没搞清楚，就开始教普通人怎么去发财。首先啊， token 没那么玄乎， 它本质上它不是黄金，它本质上就是大模型在处理这个你这个文本式的一个基本计量单位， 你问一句怎么写周报，人家从读懂到生成答案，消耗的就是 top 坑背后他不是玄学，是实打实的一个计算。第二点，成本和定价是两码事，很多人听中国电费便宜对吧？觉得就把 top 坑卖给全球就能赚差价。 但真正决定 top 坑成本的不只是电费，而是四大四大三。第一个呢是硬件折旧，你高端显卡买回来那一刻就开始贬值，这笔钱要比电费贵的多。第二点是研发和工程 ai 服务，他不是说有台服务器啊，有台机器就能跑，你还要做调试，你要做安全，你要做熔灾。第三呢，他才是电费，如果你的架构优化不行，电价他再便宜也白搭。 第三，普通人最容易踩进去的三个坑。第一个，做大厂 apa 的 代理，这也是市面上很多的一个情况，你以为自己是分销商，实际上就是给大厂做免费销售。而且我告诉你一个很残酷的一个事实，大厂的代理资格普通人根本就拿不到， 人家不仅要验你公司资质、资金流水，还要签对赌协议，承承诺高额月流水，如果你达不到 保证金，直接泡汤。第二个，自己租 gpu 部署开源模型，你觉得省的省了钱，其实是把 api 买 api 的 风险换成了自己扛机器利率是吧？抗运维的苦力活。第三个坑自己买机器托管 啊，这个更是门槛极高，真的，你拼的是全球网络囤土是吧？调度熔灾和持续运营 跟你那电费其实便不便宜真没关系。所以说别被那些什么零门槛暴富的什么给忽悠了，很多都是一个新的全新的一个庞氏骗局，财富自由根本就没有捷径，看懂这些成本起码能在第一刻躲开镰刀这件事上及格。 所以大家根本不要去相信现在所谓的抖音上有很多新的一个账号给你讲是吧？你成为一个 open open ai 的 一个代理去挣多多少多少钱，其实根本就不现实，大家要注意上当，不要被割韭菜。

面试官问你，登录凭证一般怎么设计？你千万别只说一句，用 token 就 行了。登录这件事儿，本质上就一句话，服务端怎么识别你是谁，以及怎么证明你已经登录过了。所以不管你用 session、 radis 还是 j w t 核心，都绕不开一个东西。登录凭证， 用户登录成功之后，服务端会发给客户端一个凭证，后续每次请求客户端都带上这个凭证，服务端再根据这个凭证判断你是不是已经登录，你到底是哪个用户。常见方案一般有三种， session plus、 cookie、 reddit、 token、 jwt、 点赞、收藏加关注，我们马上开始讲解。 先看第一种， session 加 cookie。 cookie 是 存在浏览器里的， session 是 存在服务器里的，用户登录成功后，服务端会创建一个 session， 把用户信息放进去，然后把 session id 写到 cookie 里，返回给浏览器。之后浏览器每次请求都会自动带上 cookie。 服务端拿到 cookie 里的 session id， 再去自己的 session 里查用户信息，查到了说明你登录过，查不到就说明你没登录，或者登录已过期。 比如验证码登录也是类似的，服务端生成验证码，先把验证码存在 session 里，然后浏览器后续提交手机号和验证码时，会带上 cookie。 服务端根据 cookie 里的 session id 找到对应 session， 再拿里面的验证码做校验，验证码正确就把用户信息写入 session。 后续用户访问需要登录的接口时，拦截器只要检查 session 里有没有用户信息就行，这就是最传统的登录方案。 但是 session 加 cookie 有 一个很明显的问题，多服务器场景下 session 不 共享，比如你有三台服务器， a、 b、 c 都部署了同一套代码，用户第一次登录，请求打到了 a 服务器， a 服务器里有它的 session， 但下一次请求被负债均衡转发到了 b 服务器， b 服务器没有这个 session， 就 会误判用户没有登录， 那怎么办？常见方案就是把 session 状态统一放到 readis。 也就是说，用户登录成功后，不再把用户信息存在某一台机器的 session 里，而是存在 readis 里。 readis 是 独立的公共存储，所有服务器都能访问它。这样不管请求打到 a、 b 还是 c， 只要拿着登录凭证去 readis 查，就都能查到用户信息。 redist token 的 流程一般是这样的，用户登录成功后，服务端生成一个随机字母串，比如一串 token， 然后把这个 token 作为 key， 用户信息作为 value 存到 readis 里，再把这个 token 返回给前端。后续前端每次请求都在请求头里带上这个 token。 服务端拦截器拿到 token 后去 readis 查，查得到用户信息说明已登录，查不到说明未登录或者登录已过期。 这里面有一个面试高频点 token， 要不要设置过期时间？肯定要，否则用户永远不退出，风险很大。但如果你设置一个小时过期，用户一直在操作系统，结果一个小时后突然被踢下线，体验也很差。 所以一般会做一个动作，刷新过期时间。只要用户持续访问系统服务端，就可以顺手刷新 radis 中 token 的 过期时间，这样用户长时间不操作才会过期，持续操作就不会频繁掉线。接下来再看 j w t j w t 和前面两种方案最大的区别是它是无状态的。什么叫无状态？ session 和 radis token？ 本质上都是服务端存了用户登录状态，你拿一个凭证过来，服务端要去 session 或 radis 里查。 但是 jwt 不 一样， jwt 本身就携带了用户信息，它一般由三部分组成， header、 payload、 signature。 header 表示这是一个 jwt， 以及用了什么签名算法。 payload 里面会放一些业务信息，比如用户 id 过期时间。 signature 是 签名，用来防止 jwt 被篡改。 用户登录成功后，服务端生成一个 j w t 返回给前端，后续前端每次请求带上 j w t， 服务端只需要校验签名，检查过期时间，然后解析出用户 id， 就 知道你是谁了。它不需要查 radis， 也不需要查 session， 这就是 j w t 的 优势。服务端压力小，扩展简单天然，适合分布式。 但是 jwt 也有一个很大的问题，签发出去之后，服务端很难主动让它失效。比如一个 jwt 有 效期是两小时，如果这个 jwt 被别人偷走了，只要它还没过期，别人就可以拿着它冒充你访问系统。 如果是 reddison token， 服务端可以直接把 reddison 里的 token 删除。但 jwt 是 无状态的，服务端本来就没存它，所以你很难直接废掉它。那怎么办？常见有两种补救方案。第一种是 reddison 黑名单， 比如用户退出登录或者发现风险，就把这个 j w t 加入 reddis 黑名单之后每次请求除了叫验 reddis， 还要查一下它是否在黑名单里。但这样一来，每次请求又要查 reddis， reddis 的 无状态优势就被削落了。第二种是双 token 方案， 也就是 access token 加 refresh token。 access token 有 效期短，比如五分钟用来访问接口。 refresh token 有 效期长，用来刷新 access token。 平时请求只带 access token， 只有 access token 过期时，才拿 refresh token 去换新的 access token， 这样即使 access token 泄露，攻击窗口也很短。而 refresh token 因为传输频率低，泄露概率相对更小。同时， refresh token 通常会存在服务端，比如 reddison， 用户退出登录时，服务端可以删除 refresh token， 达到控制登录状态的目的。所以最后怎么选？你要记住一句话，没有绝对最好的登录方案，只有适合场景的方案。 如果是传统后台系统，安全要求高，需要强控制用户登录状态，优先考虑 session 或 radis token。 如果是前后端分离分布式系统、微服务系统，希望服务端少存状态，可以考虑 jwt。 但如果 jwt 需要退出登录，替人下线封控封禁，那通常又要配合 radis 黑名单或者双 token。 所以面试回答时，不要说 j w t 一定比 session 高级，更好的回答是， session 和 reddit token 是 有状态登录，服务端掌握用户状态，安全控制更强。 j w t 是 无状态登录，扩展性更好，但主动失效能力弱， 真正落地时要结合安全性、扩展性、用户体验和系统复杂度来权衡。这样回答，面试官才会觉得你是真的理解登录体系，而不是只会被 token。

jwt 的 神奇一段 token 如何解决认证问题？你有没有发现一件事，现在的网站 app 接口 好像都不怎么用 session 了，取而代之的是一个看起来乱七八糟的字母串 jwt token。 它没有登录态，没有服务器记忆，却能让你一路畅通无阻的访问接口。今天我们就来揭开它的真面目， jwt 到底神奇在哪？ 第一幕，传统认证的烦恼先回到远古时代， session 认证流程是这样的，用户登录服务器创建 session， 把 session id 存到浏览器 cookie 之后，每次请求都靠这个 id 认人。听起来没毛病， 但问题来了，服务器要存状态， session 爆内存，分布式部署很难搞。多台服务器 session 不 同步，跨端麻烦， web app 小 程序各一套。于是后端工程师开始集体投突。第二幕， jwt 登场这时 jwt 走上了历史舞台，他只干一件事，把用户是谁这件事直接写进 token 里，服务器不再记住你，而是让你随身携带你的身份说明书，这说明书就叫 jwt。 第三幕， jwt 长什么样？一个 jwt 看起来像这样？ x x x x x y y y z 别慌，它其实只有三段， header 头说明用的算法，比如 h s 二五六 payload 载荷，用户信息 id， 用户名，过期时间 signature 防伪用的最关键一句话总结， j w t 等于铭文信息加加密签名。 第四幕， jwt 的 认证流程 jwt 的 流程非常潇洒，用户登录服务器生成， jwt 返回给前端，前端保存 token 之后，每次请求请求头里带上 authorization， 冒号 bearer token 服务器收到后，只做三件事， 验签，看有没有过期，从批漏的里取用户信息。重点来了，服务器完全不需要存任何登录状态。第五目， j w t 为什么这么香？ j w t 的 优势简直是为现代架构量身定做， 无状态天然支持分布式前后端分离，友好跨平台通用接口认证统一。一句话，只要你拿着合法 token， 我 就信你。第六目 j w t 的 坑你也要知道， 但 j w t 也不是万能的 token， 一 旦签发无法主动失效，不能存敏感信息，呸！漏的是可读的 token 泄露等于身份泄露，所以现实中常见组合式短有效期。 j w t refresh token 黑名单版本号控制。 最后总结一句话， session 是 服务器，记住你 j w t 是 你向服务器证明你是谁。 一段 token 解决的是认证的去状态化问题。如果你在做前后端分离，微服务、 app、 小 程序、 api， 那 j w t 几乎是必修课。

很多人面试一背，问到什么是单点登录，上来就开始背 cookie、 session token j w t， 结果越讲越乱。 其实单点登录英文叫 s s o single sign on， 它解决的核心问题只有一句话，用户只登录一次，就能访问多个系统，不需要反复登录。比如你登录了公司的 o a， 接下来再打开 crm 审批系统内部文档、邮箱，都不需要重新输入密码，这就是单点登录。我是小哲，点赞、收藏加关注，我们马上开始！更多内容可以查看橱窗。 那为什么企业一定要做单点登录？因为系统太多了。以前很多公司每个系统都有自己的一套账号体系， 你登录 a 系统一次，登录 b 系统又一次，密码还不一样，员工天天忘密码运维天天重置账号，体验非常差。所以后来企业就开始搞统一身份认证中心， 所有系统都不自己做登录了，而是统一交给认证中心处理。单点登录的核心架构其实就三个角色，第一个，用户浏览器，第三个，统一认证中心。 整个流程你可以这样理解，用户第一次访问系统 a， 系统 a 发现你还没登录，于是他不会自己弹登录框，而是直接把你重定向到统一认证中心。 接下来，用户在认证中心输入账号密码，认证成功之后，认证中心会生成一个登录凭证，这个凭证本质上可能是 session id token jwt， 然后再跳转回系统 a， 系统 a 拿着这个凭证去认证中心校验，确认身份没问题之后，用户就登录成功了。 重点来了，为什么后面访问别的系统不用重新登录？因为用户浏览器里已经保存了认证中心的登录状态， 比如 cookie， 所以 当你再访问系统 b 的 时候，系统 b 同样会跳到认证中心，但是认证中心一看这个用户已经登录过了，于是直接签发新的凭证给系统 b， 整个过程用户几乎无感。这就是一次登录，全系统通行。 那很多人会问，单点登录和 jwt 有 什么关系？其实 jwt 只是实现单点登录的一种技术方案，不是单点登录本身。很多人把 jwt 和 sso 划等号，这是错误的， sso 是 一种架构思想， jwt session、 欧黑哈二这些都只是实现方式。 再往深一点，真正的大厂单点登录通常还会结合 oha 二，甚至 openid connect。 比如你用微信登录第三方网站，或者用 github 登录某个平台，本质上也是一种单点登录，只是它属于跨系统、跨平台的统一身份认证。最后总结一下， 单点登录最核心的目标不是免登录，而是统一身份认证，它解决的是多个系统之间的登录状态共享问题。 核心思路就是所有系统不再自己认证用户，而是统一交给认证中心，这样既能提升用户体验，也能统一权限和安全管理。本期视频分享到这里，我们下期再再见，拜了个拜！

在我了解了这个通会是怎么被消耗的这件事之后啊，我最大的直觉是，我觉得未来的程序员很可能会两极分化， 分为有钱的程序员和没钱的程序员，分为富程序员、穷程序员。你想啊，有钱的程序员，他能够使用最先进的工具，使用最先进的模型，然后去创造出更好的产品， 然后去赚更多的钱。而没钱的程序员，他分为两类人，一类呢是打工人，他使用的是公司提供的免费 ai 工具，一般都不咋地。第二类是创业者，他需要是自负盈亏，如果他的商业模式跑起来了，他就是一个有钱的程序员， 如果他的商业模式没跑起来，那么他需要承担 ai 编程的高额费用，很有可能会入不敷出。 因为 ai 编程和我们平时使用拆一批聊天不太一样啊。一百万头肯，如果你聊天的话，你可以聊个几百次，能用很长时间，但是你 ai 编程，你让 ai 去分析一个功能模块，就有可能会消耗几千到几万头肯， 如果你让 ai 去分析一个完整的项目，全量代码几十万，上百万投坑代码还没开始写，几十块钱就没了，玩不起。我希望我这个直觉是错的，你觉得呢？说说你的看法。

所有的大股东都跟你说， g w t 是 去中心化无状态的，但为什么在实际工作中，百分之八十的项目用的都是 token 加 radis 的 实现方案呢？ 今天就用两分钟的时间来讲透背后的底层逻辑。为帮助不同基础的同学快速攻克面试难题，我特意整理了一份两百万字的面试题合集，里面汇总了所有的高频面试题、场景题的完整回答思路。只要你是我的粉丝，扣六六六，直接打包带走。先看 g w t， 理论上确实完美， 用户登录的时候，服务器生成一个包含用户信息过期时间签名的一个 g w t， 直接返回给前端存在本地， 不用服务器存任何的数据。后端前端请求时带着 gwt 服务器啊，只需要调用格式基线，签名通过了就解析用户信息处理业务失败了就让用户重新登录，听着是不是很省事啊？ 不用存数据，不用维护存储节点，好像省了很多事，但实战中啊，这恰恰是一个致命的缺陷。 再看 toon 加 register， 看似笨重，用户登录的时候，服务器随机生成一个 toon， 返回给前端的同时，自己在 register 里存一份，用固定的前缀加 toon 按 key 用户核心信息啊，当 value 还能设置过期的时间，后续前端请求带头衔服务器啊，直接去 read 查存在且没过期就啊取用户的信息处理业务，不存在或过期，直接啊重新登录。有人会说，这不多了一部 read 存储吗？ redisk 坏了怎么办？别急，后面我跟你讲，这恰恰是大厂选它的原因。从优胜上看啊，这 w t 啊，好像更优，少了存储的环节，不用依赖 redisk， 也不会有啊 redisk 宕级的风险。但我问你， 用户退出登录，你该怎么处理？这个就是 j w t 的 死穴， toon 加 release 的 方案，退出登录只需要一句话，从 release 里删除对应的 toon， 瞬间就失效了，简单直接，零风险。而无状态的 j w t 呢，一旦生成，在过期前永久有效， 你根本没有办法主动作废。有人就会抬杠了，那我在 reddit 里存这只 r o t 的 黑名单，用户退出的时候，这个 r o t 呢？放下黑名单请求时候先查黑名单不就行了？ 我就问你一句，你先用这只 r o t， 现在为了退出登录，又要引入 reddit 存黑名单，这不就是自相矛盾，啪啪打脸吗？ 多此一举不说，还把这 w t 唯一的优势给搞没了。这就是为什么实际工作中啊，百分之八十的项目，宁愿多维护一个 register， 也要选用 token 加 register 的 核心原因。这 w t 啊，不是不好，而是只适合少数的场景，比如 跨服务认证，不需要主动的退出的场景。但对于绝大多数的业务系统，尤其是需要灵活控制用户登录状态，追求稳定性的项目， token 加 ready 才是最优解。最后啊，留个问题啊，我考你，如果你的系统啊，是跨服务多重的认证，你是会选 g w p 还是 token 加 ready s？

今天是我实习的二百一十六天啊，我今天自己写了一个后端，然后写了一个前端，就是用于这个登录之后生成托管，然后前端保存在缓存里边啊，大概就这样我自己实现了一遍， 因为自己平时用的都是公司的框架，所以我想知道这个原理是什么，然后就自己写了一遍啊，然后也实现了第二个呢？问题就是北京那个项目我感觉太太麻烦了，今天又提出了很多新的问题，他们那边说什么工艺验证 啊，反正我跟他说你把那个问题发到群里面吧，然后艾特我们领导，我跟他说你跟我们领导说这是新提出来的问题，不然我怕到时候没时间改。反正干啥活得让领导知道啊，不然的话就白干了啊。 ok， 差不多，呃，最近的话都是在自学啊，然后我觉得，呃，最近的话还是自学了很多东西的啊，比自己做项目的话学东西更多啊。 ok。

cookie、 session、 token、 zwpt 咱们一次聊透，先跟大家讲清楚为什么需要这几样东西。因为 http 是 一种无状态协议，用户每发起一次请求，对于服务器端来讲都是一个完全独立的全新的请求。 你是谁？你之前做过什么操作都是一无所知的。就像你去某个电商平台买东西，从商品列表页到商品详情页需要登录一次，从商品详情页把商品加入到购物车还得登录，那对于用户来讲是完全无法接受的，所以就诞生了 cookie。 我们可以将 gucci 理解为存储在浏览器端的一份数据，这份数据是服务器端发送给浏览器端的。在后续的请求中，浏览器端的用户每网服务器端发起一次请求，都会携带这份数据进行身份识别验证，这样就不需要重复进行用户名和密码进行登录了。我们可以看下 gucci 的 详细交互流程， 从这里来看， gucci 确实很好的解决了 lib 之类的关键数据，直接存储在浏览器端，系统就没有安全性而言了。 用户完全可以把 user id 从一二三四五六改成一二三四五七，一二三四五八，这样就摇身一变拥有了其他用户的权限。为了解决该问题， session 也就产生了。 session 直接将用户身份信息，也就是 user id 等于一二三四五六存储在服务器端，然后给浏览器端返回一个自生棚的 session id， 并存储在浏览器端的库体中。 大家可以这样理解，存 gucci 的 方式相当于浏览器端的用户直接说我是某某某，然后服务器端就直接相信了。而 session 加 gucci 相结合的方式则是浏览器端的用户说暗语，服务器端以识别暗语的方式进行确认用户是某某某，这样就大幅提升了系统安全性的问题。我们可以看下 session 加 gucci 的 详细交互流程。 这种方式确实是可以运用在生产环境上的很成熟的方式，但它的弊端在于服务器端需要对 json id 进行存储，如果存储在 reddit 中，那 reddit 宕机，就会出现系统不可用的情况。如果存储在数据库中，高频访问又会对数据库造成压力，因此又出现了仅需要验证签名，不需要进行数据存储的头肯方式。 toon 可以 理解为服务器端给浏览器端先发的数字令牌，浏览器端的用户每次请求都会带上这个令牌，服务器端可以通过它来进行身份认证，就像我们进入公园的时候需要出示门票一样。当然 toon 也是可以存在浏览器端的 cookie 中，我们可以看下 toon 加 cookie 的 详细交互流程。 最后我们再聊一下 jwt json。 web token 是 目前 token 最流行的一种规范，由 header、 payload、 signature 三个部分，以此来实现无状态的身份验证。原始的 base 九十四编码前的编码串，类似于这样，我们可以看一下 base 九十四编码后会变成这样的格式。 由于 user id、 过期时间等数据已经保存在头肯中了，所以服务器端并不需要存储任何数据。当浏览器端的用户发起请求时，拿到头肯直接进行 base 六十四 decod， 就 能获取到 user id 和过期时间，而且进行签名的数据也不用担心被篡改，这样就做到真正意义上的无状态。 讲到这里，大家应该完全理解 cookie、 session、 token、 gw、 t 这四种术语了吧？关注我，拿下更多面试，咱们下期见！

今天面了个三年后，端简历写精通认证授权。我问他一个基础问题，已经有 cookie 加 session 了，为什么很多项目还要用 gwt？ 他 脱口而出，因为 session 存在服务端，多台服务器要共享， gwt 是 无状态的，适合分布式。 我点点头，接着问，那 session 存 readis 也能分布式共享，为什么不用 gwt 无状态？那他一旦签发了，怎么让一个还没过期的 token 失效？他想了想，设置短过期时间，或者存一个黑名单。 我追问，那不就又变成有状态了吗？核心优势都没了，如果用户改密码，所有旧的 j w t 还能用，你怎么处理？ 他愣住了，我继续说， session vs j w t 这个问题在二零二五年早就不只是有状态 vs 无状态，它是你从会登录到真正理解分布式身份设计的第一道分水岭。我给你五个层面的追问，能达到第三层才算合格。如果你这道题也不会，我整理了让大厂 hr 沉默的必考题库， 包含 mexico 灵魂拷问、 radis 高频陷阱、 springboard 十连问点个赞，评论区甩六百六十六，打包带走。下面带大家一一解析这五层。第一层基础区别， session 服务端存储，客户端存 session id 状态在服务端， gwt 服务端不存，客户端存储 token 签名验证状态在客户端。 session 问题分布式下，需要共享存储粘性绘画麻烦。 jwt 优势，服务端无状态，水平扩展，天然友好。第二层，典型场景选择单体应用或小系统 session 简单成熟，主动失效容易。大型分布式微服务 jwt 让每个服务都能本地验证，不用每次调认证中心， 跨端移动端 cookie 受限， jwt 放探测头更方便。第三方 api 斜杠开放平台， jwt 自带用户信息，减少查询。第三层， jwt 的 致命缺点 问题一，无法主动失效，服务端没存你，没法踢人，没法让改密码前的旧 token 作废。解法，引入短期 token 加 refresh token 黑名单，或者放弃纯无状态。问题二， token 体积大，存用户信息加签名，每次都带 http 头，可能超限。解法，只存必要声明，用压缩或换成引用令牌。 问题三，安全性依赖签名算法，用了弱算法直接击记。解法，用 r s 二五六， e s 二五六，私要签名，公要验证，服务端不存密钥。第四层，混合方案不是二选一，而是 session 加 j w t 结合登录成功后发一个短过期 j w t 用于健全 refresh token， 存 readis 用来换新 j w t， 这样既有无状态的高性能，又能主动撤销长生命周期的 refresh token。 大 厂常见 get 会曾验证 j w t 业务服务无状态，用户退出时删 refresh token。 第五层，二零二五年新趋势， 越来越多的场景开始回归。服务端会话，因为 j w t 无法批量失效，审计困难。新方案， pestle mccarrons 浏览器端 simsite 等于 lex 加下滑线下 host 的 前缀 cookie， 存 session id， 防御 c s r f 的 同时保持简单结论，没有银弹管理，后台用 session 更安全开放， a p i 用 j w t 更灵活，这就是技术深度。同样一个问题，有人只会被无状态好扩展，有人能聊到黑名单。 refresh token 混合架构 pass settle 最后我问那个后人，你现在觉得自己真的理解 j w t 了吗？他默默关掉了会议。最后问大家，你项目里用的是 session 还是 j w t？ 踩过什么坑？

token 到底是什么？普通人怎么理解？很多人用 ai 的 时候，都会看到一个词， token， 但大多数人其实不知道这个东西到底是什么。大家好，我是伞登，今天我们就讲一件事，普通人应该怎么理解 token。 如果要用一个最简单的东西类比 token， 其实很像早期互联网的流量。以前我们上网每个月只有几十兆流量，看一会网页就没了，看个视频更是奢侈。 而 ai 现在的状态其实跟那个阶段非常像，你用一次 ai 问一个问题，生成一段文字都会消耗 tokin， 所以 很多 ai 产品其实是在燃烧算力。 如果你这样理解，就很简单了， ai 就 像互联网， tokin 就 像流量，而那些智能体、工作流这些应用每运行一秒都在消耗流量。 所以现在很多个 ai 产品其实还处在一个流量很贵的阶段，就像当年我们每个月只有几十兆流量的时候。 但历史有一个规律，当技术发达到某一天，流量不再是问题，应用就会爆发。你看，今天我们几乎不会再为流量发愁，真正赚到钱的也不是那些基站建设者，而是短视频、电商、游戏、各种互联网应用。 而呼和浩特恰恰是一个算力节点城市，这就意味着未来这里会有大量算力基础设施。但普通人其实不需要去建机房，也不需要去研究模型，真正的机会往往出现在更上层， 也就是怎么用这些工具解决现实问题。所以 talking 这个词，你不用把它想得太复杂，它就像早期互联网的流量，而 ai 可能正处在那个应用爆发前的阶段，我是伞登，我们慢慢把这些事情聊清楚。

今天一条视频告诉大家，头肯分销还能不能做？怎么做？头肯分销的存在是因为其中有一个必不可少的作用，就是承上启下，承厂商之上，起用户之下。而分销渠道直接决定了你的运营上限，选错渠道不仅效率低下，还可能触碰各类行业风险。 本期视频通过四大板块完整拆解头肯分销到底是什么，大家可以点赞收藏，以免找不到。 第一部分核心逻辑， top 分 销的底层逻辑就是上游对接高性价比渠道，下游对接需要程序开发、代码生成，或者一键慢距的开发者或者团队，赚取其中的差价，这就是核心的玩法。 那选择渠道该考量些什么呢？筛选渠道主要看三大核心维度，第一，稳定性。第二，渠道价格。第三，结算方式。稳定性无需多言，是能否长久运营的首要条件。第二，渠道价格也是绝大多数人都踩过的坑，那就是只对比资源单价而忽略渠道来源， 相当于忽略了致命的隐形风险。第三，结算方式一定拒绝先行垫付，一旦平台爆雷便血本无归。那知道怎么筛选渠道？我们来对比一下。主流的三类渠道分别为官方、直联、聚合平台以及分销商，三种渠道各有优劣， 直联的官方渠道优势在于没有中间商，但是套餐固化，服务单一，定价统一。第二种聚合平台优势在于支持全网的模型一键调用，适合规模化运营，资源覆盖面广，适配中小创业者，不过会有一点技术门槛。 最后一种就是偷啃分销商，优势在于上手简单，对接省心，不过劣势也比较明显，在于资源层级受限，需要依赖上游，大家按需选择即可。那视频最后给大家出一个避坑小指南， 新手小白在保证渠道稳定性的前提下，小成本测试积累客户刚入行切记不要急于求成，有固定客源以后要做好售后服务，并且要抱有一个长期主义者的心态。我整理好了几个运营稳定的渠道清单， 以及各类渠道优缺点，评论区留言 ai 直接获取。好啦，我是小爱，下期视频再见，拜拜喽！

token 经济的接下来核心机会在哪呢？ token 消耗量就是 ai 行业的真实营收，更是接下来啊市场最大的赚钱增量。 简单来说呢，现在 ai 行业早已经不是单纯的拼模型拼概念的时代了，真正的落地变现呢，全是靠 token 调用，用户每一次 ai 对 话，每一次的智能体运行，每一次的 ai 生成创作，都是会消耗海量的 token， 那消耗量持续的暴涨，对应的产业链上下游呢，就会迎来实打实的业绩爆发。那么 talkin 经济时代啊，哪些板块最有机会优先级最高呢？首先当然是上游的算力硬件，这是整条产业链最确定最稳健的核心赛道，也是妥妥的卖场人逻辑。所有的 talkin 的 生产、 计算、推理啊，都是离不开底层硬件的支撑的，其中 ai 服务器、高端光模块、国产 ai 芯片呢，是三大核心支柱，目前行业订单已经排到了年底甚至是明年了，业绩的能见度非常的高。同时随着算力功耗持续提升，夜冷散热算力数据中心的需求呢，也在同步爆发， 量价齐升的趋势也是非常的明确。这一些啊，阶阶段也已经都朝上天去了，今天的资金回流啊，也继续是拥抱了这个方向。其次呢，是中游的算力调度与传输，属于是容易被忽略的隐形刚需赛道， talk 不 只是生产出来就结束了，还要快速稳定地传输调度和落地。 三大运营商啊，是这条赛道的绝对龙头，依靠自身的网络资源全面入局， token 算力服务百亿级集采落地，商业模式也彻底打通了。除此之外呢，边缘计算、跨境 c、 d、 n 也是迎来了刚需的增量，是 token 高效流通的核心基建，后续呢，有不涨的空间。 最后是下游， ai 模型和应用端，也是整条产业链弹性最大的方向，上游负责生产 token， 下游呢，就是消耗 token 的 核心场景。 现在大火的 ai 大 模型、企业智能体、 ai 办公、 ai 营销、数字内容生成啊，都是高 token 消耗的场景。尤其是 ai 智能体，相比传统的人机对话， token 消耗直接是要翻倍的，能够快速地兑现营收，一旦如果行情加速呢，下游应用的爆发力会远超于硬件端。 总的来说呢， token 经济绝对不是短期的炒作了，未来呢，将是海啸级别的。不过呢，虽然说未来的空间很大，但是这一波还是不能盲目追高啊，看清背后的这个逻辑，回调的时候再布局吧。