Published onNovember 30, 2025前端不持有 JWT:从"token 存哪"反推一套 Cookie 鉴权与 RBAC 的设计空间架构鉴权RBACCookie安全"token 该放在哪"这个问题的答案,决定了 XSS 风险是被消除还是被转移。拆解为什么前端不持有 JWT、CSRF 为何成了不可省的代价、权限并集怎么算、缓存失效为什么比缓存本身难。