一般用redis做session共享 。。权限的话每次请求通过过滤器,把当前URL跟后台的资源列表对比,如果有权限就通过请求。 JWT是后台不保存用户信息,用户信息保存在客户端 每次请求校验,通过服务端的私钥,过期时间来校验合法性