1、无状态: 2、有效避免了 CSRF 攻击:CSRF攻击,采用的是cookie进行攻击的;也避免XSS攻击,XSS采用的是js脚本进行攻击。 3、适合移动端应用:移动端没有cookie,jwt 4、单点登录友好: