@VeryZero 我在讨论的是不应该去做，你却再说做了应该也没啥影响，这样好么？后续的业务逻辑各种各样，你怎么能确定执行了不会有问题？既然服务端自己都能判断出前端请求是跨域的，就算业务代码执行完成了也会被前端拒绝，那何必还去执行呢？

@Jirajine 我都没说框架，你非要说框架把这个处理了，对不上啊。代码都贴出来了，代码有啥问题你说说吧。

@ck65 OPTIONS 请求默认情况下就是发到目标地址，我知道当然可以放在一个专用的页面处理，但那是另一说。那简单请求呢？如果 Origin 是跨源的，服务端不该 exit 一下么？

@111111111111 我没说和 PHP 有啥关系，我是在说，CORS 处理已经完成了，如果都已经知道拒绝了，何必再去执行剩余的代码，网上那种只加 header 的，你敢说没执行后面的代码？你说加 if，这个 if 该执行么？

@asiufasd 我已经说了，我看明白了，你回复的内容我都看了，而且我都明白，但是我感觉你并不清楚我在说什么。就问你一个问题吧，预检请求处理和简单请求处理，不都是在某个业务逻辑代码的前面写的么，如果程序不去 exit，会执行不到业务逻辑代码？

@asiufasd @lalalaqwer @cnscorpions 我不知道你们是不是 PHP 开发人员，如果是的话，你们把我代码里面的两个 exit; 语句去掉，看看会怎么样。

@lalalaqwer 那你的 OPTIONS 预检请求写在哪里？不都是 ajax 发送的地址么，预检请求后面没有业务逻辑代码么？你要是不去主动结束，不就会执行了么？

@asiufasd 我觉得我看明白了。你可以说完么，不要话说一半哈。

@shintendo 我知道，但是我想说的不是这个。

@ssshooter 明白，不过我觉得在已经知道请求会被拒绝的情况下，就别再去执行后续的代码了，有些多余。

@timothyqiu
1.我拿到了 JWT，还改它干啥，直接盗用了；这和会话 ID 被盗取是一样的。再者会话 ID 就算被改了，服务端也不会认。只要会话 ID 生成的方法没问题，想碰撞会话 ID 也是非常难的。
2.那个是 Cookie 的问题吧。再说在服务端会话数据里面加一个过期时间，和在 JWT 中加一个过期时间有什么本质区别么？能在 JWT 中加，那也能在服务端会话中加。
3. 这个是一个本质的区别。

在前后端分离这块，很多人所说的 Token 确实就是客户端会话，那些 Token 的优缺点也都是客户端会话的优缺点。不过在超出这个范畴，那 Token 的含义就不局限于“会话”了。

@also24 这篇文章我看到了。

@dany813 一般都会设置一个过期时间，这个过期时间也保存在客户端，并随每次请求发送给服务端，服务端做验证，判断其是否过期，过期后就告知客户端该 Token 无效，让客户端重新发起登陆请求去重新生成新的 Token 就可以了。

@timothyqiu 有点懵了，不过还是要说声感谢！

@tinycold 嗯，JWT 最大的特点是存在客户端，而不是服务器端，所以“无状态”，但也正式因为没有存在服务端，所以服务端没办法主动让其失效，只能等其过期。

@Mithril 服务端会话有很多种成熟的方案了，小型、中型和大型架构都有，这个觉得不是问题。

@KuroNekoFan 但是我感觉 JWT 的缺点也挺多的，觉得至少在会话这块用起来不合适。

小米 9，就是电池不耐用，重度估计要一天两充，甚至三充。