@perpetually 我说句你可能不爱听的，我觉得在 Web 服务端这块，Python 是要排到比较靠后的位置的。

超大型 Web 项目：只选 Java，别的就算了。
大型 Web 项目：首选 Java，其他语言 可能 也可以做，但是都不如 Java
中型 Web 项目：啥语言都差不多，谁也别说谁好
小型、微型 Web 项目：啥语言都差不多，但 Java 排最后

虽然可能不完全严谨，但目前，现实中差不多就是这样。

@no1xsyzy @ChanKc 可能我在内容里面说的“完善”确离“完善”还差很远，不过我的本意也不是想说的代码写的多好，多完善，我是想说的重点是提前 exit 不去执行下面的业务逻辑。回头我去看下规范或者看看别的库和框架是怎么实现的吧。

@JimmyChange 我确实没看过标准，我是参照阮一峰的那篇文章写的，另外我觉得那篇文章中的逻辑也没问题。客户端发请求上来问服务端跨没跨域，服务端如果发现请求没跨域，自然要告诉客户端自己允许什么，如果服务端发现请求是跨域了，都是不是自己的客户，干嘛要告诉客户端自己的规则是什么，直接返回，相当于不理客户端，不是挺合理的么？

@no1xsyzy 就算不说 OPTIONS，只谈简单请求，不也一样么，如果服务端根据自己的配置已经识别出浏览器发上来的请求是跨域的请求，直接 exit，既不会执行后续代码，浏览器也收不到 Access-Control-*，不挺好么。

这段代码没打算投入使用，就是做演示用的。我也知道框架或 web 服务器可以帮我们做处理，但是觉得讨论问题时把它们拉进来不是更复杂了么。

@VeryZero 我在讨论的是不应该去做，你却再说做了应该也没啥影响，这样好么？后续的业务逻辑各种各样，你怎么能确定执行了不会有问题？既然服务端自己都能判断出前端请求是跨域的，就算业务代码执行完成了也会被前端拒绝，那何必还去执行呢？

@Jirajine 我都没说框架，你非要说框架把这个处理了，对不上啊。代码都贴出来了，代码有啥问题你说说吧。

@ck65 OPTIONS 请求默认情况下就是发到目标地址，我知道当然可以放在一个专用的页面处理，但那是另一说。那简单请求呢？如果 Origin 是跨源的，服务端不该 exit 一下么？

@111111111111 我没说和 PHP 有啥关系，我是在说，CORS 处理已经完成了，如果都已经知道拒绝了，何必再去执行剩余的代码，网上那种只加 header 的，你敢说没执行后面的代码？你说加 if，这个 if 该执行么？

@asiufasd 我已经说了，我看明白了，你回复的内容我都看了，而且我都明白，但是我感觉你并不清楚我在说什么。就问你一个问题吧，预检请求处理和简单请求处理，不都是在某个业务逻辑代码的前面写的么，如果程序不去 exit，会执行不到业务逻辑代码？

@asiufasd @lalalaqwer @cnscorpions 我不知道你们是不是 PHP 开发人员，如果是的话，你们把我代码里面的两个 exit; 语句去掉，看看会怎么样。

@lalalaqwer 那你的 OPTIONS 预检请求写在哪里？不都是 ajax 发送的地址么，预检请求后面没有业务逻辑代码么？你要是不去主动结束，不就会执行了么？

@asiufasd 我觉得我看明白了。你可以说完么，不要话说一半哈。

@shintendo 我知道，但是我想说的不是这个。

@ssshooter 明白，不过我觉得在已经知道请求会被拒绝的情况下，就别再去执行后续的代码了，有些多余。

@timothyqiu
1.我拿到了 JWT，还改它干啥，直接盗用了；这和会话 ID 被盗取是一样的。再者会话 ID 就算被改了，服务端也不会认。只要会话 ID 生成的方法没问题，想碰撞会话 ID 也是非常难的。
2.那个是 Cookie 的问题吧。再说在服务端会话数据里面加一个过期时间，和在 JWT 中加一个过期时间有什么本质区别么？能在 JWT 中加，那也能在服务端会话中加。
3. 这个是一个本质的区别。

在前后端分离这块，很多人所说的 Token 确实就是客户端会话，那些 Token 的优缺点也都是客户端会话的优缺点。不过在超出这个范畴，那 Token 的含义就不局限于“会话”了。

@also24 这篇文章我看到了。

@dany813 一般都会设置一个过期时间，这个过期时间也保存在客户端，并随每次请求发送给服务端，服务端做验证，判断其是否过期，过期后就告知客户端该 Token 无效，让客户端重新发起登陆请求去重新生成新的 Token 就可以了。

@timothyqiu 有点懵了，不过还是要说声感谢！