Подумайте, когда пользователь успешно войдет в систему, JWT сгенерирует токен с ключами и сохранит его в сеансе.с другой стороны, разрешение пользователя будет записывать в другом закодированном сеансе. после этого для каждого сервера запросов будет проверяться закрытый ключ, если токен действителен, то использовать разрешение для принятия решения, показывает страницу или нет.
преимуществонам не нужно получать данные из базы данных и сравнивать их с идентификатором пользователя или идентификатором сеанса хранения ...
Некоторое время я думаю об этом методе, но не знаю, безопасен ли он.