Механизм авторизации основанный на сессиях/куках - также туп как стар

Механизм авторизации основанный на сессиях/куках - также туп как стар

Но до сих пор не видел альтернативы особой. Сегодня наткнулся на JWT:

https://jwt.io/introduction/

Крайне изящный способ. JWT предлагает генерить подписанный, зашифрованный токен из json, в котором содержится полезная информация, например логин пароль юзерид. Токен генерит сервер и отдает клиенту, а клиент засовывает его в авторизейшен хидер. И все. На сервере расшифровываем и получаем готового юзера без сессий/кук. Хотя токен можно и в куку пихать на клиенте или в локалсторадж

На серверсайд таким образом можно выкинуть сессии и съэкономить на запросе к базе. Выглядит как профит прям. И подделать сложно и апи с токенами из коробки и сессии не нужны