jwt可以代替session的很多場合的需求，但是需要注意一點，jwt不能包含敏感明文資訊，session的資料儲存在服務端，客戶端透過cookie儲存了一個key而已，所以session是可以儲存敏感資訊的。

一般的輕量級場景可以使用，用來儲存一些id和不敏感資訊代替session是沒問題的，尤其對無狀態的分散式服務架構，可以省去伺服器的大量開銷。

但要注意兩點，因為jwt儲存在客戶端，即使加密儲存，也存在洩露和偽造風險，所以一般不推薦用來儲存機密資料，session是資料存在伺服器上的，相對安全性高很多。

另外，因為在客戶端儲存，也無法像session在伺服器同步複雜的狀態資訊，一些需要保證客戶端與伺服器同步的場景，比如客戶端保持唯一線上，自動作廢其他登陸狀態這種需求，jwt就不太適合或者無法單獨完成任務。

所以，jwt適合不敏感的資料儲存，以及不需要嚴格保持狀態的業務，當然也可以jwt配合session一起使用

為啥要替代？技術從來都是隻選對的，對應場景選用對應模式，例如某個應用只需要session就可以的，幹嘛非要為了使用某個新技術，把原本簡單化的東西變得複雜

不能，之前目前不能，jwt還是一套基於安全策略而生的校驗機制，跟session 基於伺服器登入態而生的有著根本的區別。

不能完全代替！jwt儲存在客戶端，只能儲存一些無狀態不敏感資訊，對於服務端需要的一些敏感資訊，比如賬戶敏感資料還是需要sedsion