【非课程】基于前后端分离的项目，是不是只需要使用Bearer token（jwt）认证就够了？不需要设置cookie了吧（比如csrf令牌和session）？

看了一个项目，他既用了Bearer Token 又用了cookie（session和csrf令牌）。

ver 我目前没有见过同一个请求上同时存在这两种鉴权。一般前后端分离的项目，或者向外部提供系统 API 的情况下，我是使用 Bearer Token。单体项目，前后端没有分离的情况我基本上用的 session（因为框架自带并默认是这种方式，直接使用比较方便）。