Я знаю, что JWT можно использовать для замены аутентификации на основе файлов cookie/сеансов, и мы использовали это в предыдущем проекте, и я понимаю, что использование JWT имеет много преимуществ, таких как безгражданство, поддержка CDN, предотвращение атаки csrf, лучшая поддержка кластер ENV и т. д.
Однако я очень смущен тем, может ли JWT полностью заменить Session? Если мы хотим в полной мере использовать JWT для сохранения всего состояния сеанса, то это означает, что каждый раз, когда бэкенд сервера хочет добавить какое-либо состояние в сеанс, вместо этого серверная часть должна повторно генерировать новый токен с этой информацией и клиентом. сторона должна обновить только что сгенерированный токен, я сомневаюсь, правильно это или нет?
И если мы используем JWT только для поддержки аутентификации и сохраняем только учетные данные пользователя, хотя служба аутентификации может быть отделена как автономная микрослужба, сеанс все равно будет необходим для серверной части бизнес-службы, если мы хотим сохранить какой-либо сеанс государство, верно? При чтении весеннего документа рекомендуется использовать Redis для сохранения состояния сеанса для поддержки среды кластера.
В целом, я очень смущен тем, можно ли использовать JWT для полной замены сеанса или нет?
Большое спасибо.