• 国发展第三方检测机构是大势所趋,根据有关现状,如何能做到更快更好地发展呢？针对现在第三方检测的一些问题所在，关键是要加强决策管理水平，提高数据的跟踪和溯源水平，摆脱业务发展的瓶颈，寻求突破口。所以，将实验室管理系统运用到第三方检测机构中可以大大的提高检测机构的工作效率和管理水品，是未来发展的趋势。优良的LIMS系统可以有效地实施质量保证和质量控制流程，让不同岗位的人员按各自的权限分享不同级别的信息资源，完成约定的工作。能及时发现测试、服务过程中的异常情况。可以自动进行信息反馈与记录跟踪，追本溯源。系统能对原始数据进行二次加工处理，提供各种统计数据，供高层管理人员分析决策。而检验流程控制、质量控制、数据跟踪溯源是LIMS系统核心中的核心。帕特智能在对LIMS产品不断的研发和测试过程中，积累了丰富的经验。现在产品已经进阶到了/bbsfiles/images/_/2010/

• 最近公司要做信息化管理了，有没有人知道，第三方检测实验室的信息化管理是什么软件啊 .lims里面大概都有什么板块？

• 近几年随着国外实验室的进驻，使国内的实验室面临着信任危机。一般来说我国出具的报告书国外是很少认可的，因为国外认为我们实验室手工操作、人为干预过多，使得检验数据存在很大的人为因素。为了避免这个问题，很多国内的政府实验室都在考察和实施LIMS系统。LIMS最早出现在国内一般都是石油、石化、制药等一些制造行业的实验室，而第三方实验室实施出现较早的属药检行业，上海、广州、北京、大连等药检所先后实施了LIMS系统，并已投入正式运行。而其他行业的第三方实验室也正积极的进行考察、调研。实施LIMS系统成为了第三方实验室的首要任务及必须要解决的问题。据了解，目前我国实施的LIMS系统多为国外厂家的LIMS系统，业内普遍认为国外的LIMS系统更能满足实验室管理的规范，更符合国际的要求。也正是国外LIMS系统的进入，又给我们带来一些新的问题。 帕特智能科技有限公司在和许多第三方检测机构进行探讨、交流后，自行研发出了适合实验室检测流程管理的实验室管理系统LIMS,并且成功给多家知名第三方检测机构上线，比如华测检测、海智检测、中一监测、正方元信等等。这些机构含括了食品第三方检测、环境第三方检测、建工第三方检测等等检测机构，针对不同检测机构对于检测环节的不同要求，为他们量身定制管理模块，使得样品能够从委托登记到最终出具报告中间的每一个环节都专人专项负责，实验室管理者也可以清晰明了的把握整个检测的进度，合理的安排工作。

• 我是做第三方检测的，学的是化学分析，经常逛仪器信息网，看到诸如仪器技术，行业应用，管理认证，采购交流等等许多大的论坛版面其中唯独找不到关于第三方检测的，我想像我这样在第三方检测机构的经常逛仪器信息网的人不在少数，希望能够有个第三方检测的论坛让我们这些做第三方检测的人有个交流的地方，大家集思广益，讨论一下是否有必要单独创建一个第三方检测论坛？谢谢

• 我是做第三方检测的，学的是化学分析，经常逛仪器信息网，看到诸如仪器技术，行业应用，管理认证，采购交流等等许多大的论坛版面其中唯独找不到关于第三方检测的，我想像我这样在第三方检测机构的经常逛仪器信息网的人不在少数，希望能够有个第三方检测的论坛让我们这些做第三方检测的人有个交流的地方，大家集思广益，讨论一下是否有必要单独创建一个第三方检测论坛？谢谢

• 第三方环境检测实验室如何管理实验进度？目前实验室出现谁催促的厉害报告出的就快，而且大家不能很方便的看到实验进度，实验周期。有没有什么解决的办法？大家实验室有用管理软件吗，效果如何，价格如何，有免费的吗

• 2016年第一季度，包括SGS、BV、Intertek等国际知名机构以及华测、电科院国内上市机构纷纷发布了2015年的财报信息。我要测网对上述机构的财报数据进行了汇总，综合来看，SGS继续领跑第三方检测机构，排名第一位。其他机构也跟往年相比有所变化。来看：2015年上市第三方检测机构盘点：/zt/2015jcssnb

• 环境的在线监测在我国是新生事物，它的出现为有效地利用现代科技提高环保工作的效率提供了可能；但是，如果没有一套与之特点相适应的行之有效的运营管理制度，就不易达到当初设计在线监测系统的目的。　　从全国各地污染源自动监控系统的建设和运营情况来看，此项工作尚有许多问题，其中，主要是对系统的所有权、建设权、使用权、运营权理得不顺。这一问题在较大型的设备（如COD在线监测仪等）完全由企业投资的情况下最为突出。由于经济发展状况、国民素质、环保意识等方面的原因，排污企业出于自身利益的考虑，偷排现象时有发生；一些企业对污染源自动监控系统有抵触，对已安装的设施采取消极管理，消极维护的态度；因此，从主观上讲，排污企业不具备积极主动、客观公正地进行运营管理的动机。　　另一方面，由于在线监测与监控是一项涉及机械电子、信息技术、分析化学等多门学科专业性很强的工作，因此，它的运营具有非常高的专业要求。环保部门由于要承担环境保护相关的各项监督管理和执法工作，人力有限，同时也缺乏相关专业的技术人才，因此自行管理力不从心。近年来的实践经验证明，第三方运营是一种有效实施环境在线监控管理的运营模式。　　第三方运营是指环保部门委托从事环保技术服务的专业公司对辖区内的在线监控系统进行统一的维护和运营管理。这些公司一般是独立于被监测企业和环保部门的第三方实体，依据《环境污染治理设施运营资质许可管理办法》的规定，获取了环境染污监控、治理设施运营的资格。它们受环保部门的委托并对环保部门负责，为政府、企业及公众提供客观公正、准确可靠、实时连续的环境监测数据。 　　第三方运营的管理模式具有诸多优点：首先，它能够充分发挥设备的作用，克服了监控设备由企业自身管理的弊端，从根本上改变了过去设施安装后无人管理、基本处于停运或半停运状态的局面；其次，第三方运营可以通过集约化的管理降低运行维护成本；另外，作为环保部门的科技助手，运营单位可以提供专业化的服务，让环保部门有限的人力从琐碎、繁杂的运营工作中解放出来，集中投入到行政管理、监督、监察和行业指导的本质工作上去。　　例如，针对目前污染源在线监控系统的所有权、建设权、使用权、运营权一直比较模糊的问题，九江市率先在全国推出的“政府出资、环保监管、市场运作、企业协助”的建设和运营模式。对于已建成的监控中心和分布在排污单位的 30余套水质监测子系统和20余套烟尘气监控子系统，市环保局成立了九江市污染源自动监控系统运营中心。　　总而言之，认真落实中央政府节能减排综合性工作方案。　　在法律政策方面，我们要积极推动环保立法，通过法律的强制手段和政策的经济杠杆，使得那些高能耗、高污染的企业负担起本应由它们承担的社会环境污染成本，鼓励企业进行技术革新和产业升级，向资源节约和环境友好型的生产模式发展；　　在科技创新方面，要明确产品研发和技术创新的方向和主体，通过政策和创新基金，对国内的重点企业的研发工作给予资金上的支持和政策上的鼓励。同时，对于后台监控信息系统的建设，必须在国家环保总局等有关部委的领导下，着手制订统一的数据接口和系统建设标准。　　在运营管理方面，第三方运营是目前一种不错的模式。在污染源在线监控系统筹建上，要明确自动监控设备的建设、运行和维护经费由排污单位自筹，监控中心的建设和运行、维护经费由国家负责的原则。要争取以法规确认，企业对由自己购置的在线监测设备只拥有所有权和使用权，设备的管理运营权归其所属环保局，并由环保局委托给第三方专业技术公司代为执行。

• System）系统全称为实验室信息管理系统。它是计算机网络技术，数据库技术，数据通讯，信息管理等多学科集成的软件产品。优良的LIMS系统可以有效地实施质量保证和质量控制流程，让不同岗位的人员按各自的权限分享不同级别的信息资源，完成约定的工作。能及时发现测试、服务过程中的异常情况。可以自动进行信息反馈与记录跟踪，追本溯源。系统能对原始数据进行二次加工处理，提供各种统计数据，供高层管理人员分析决策。而检验流程控制、质量控制、数据跟踪溯源是LIMS系统核心中的核心。第三方实验室是指与生产方、销售方均无关系，完全站在公正的角度进行检测，数据为市场所用。一般来说第三方实验室出具的报告书都具有一定的法律效力，比如：政府下设的实验室、科研院所的实验室等。正是因为第三方实验室出具的检验报告书带有一定的法律效力，因此它出具的检验数据更应公平、公正。而控制检验数据有效性的最好办法就是应用LIMS系统。目前LIMS系统在我国的应用情况近几年随着国外实验室的进驻，使国内的实验室面临着信任危机。一般来说我国出具的报告书国外是很少认可的，因为国外认为我们实验室手工操作、人为干预过多，使得检验数据存在很大的人为因素。为了避免这个问题，很多国内的政府实验室都在考察和实施LIMS系统。LIMS最早出现在国内一般都是石油、石化、制药等一些制造行业的实验室，而第三方实验室实施出现较早的属药检行业，上海、广州、北京、大连等药检所先后实施了LIMS系统，并已投入正式运行。而其他行业的第三方实验室也正积极的进行考察、调研。实施LIMS系统成为了第三方实验室的首要任务及必须要解决的问题。据了解，目前我国实施的LIMS系统多为国外厂家的LIMS系统，业内普遍认为国外的LIMS系统更能满足实验室管理的规范，更符合国际的要求。也正是国外LIMS系统的进入，又给我们带来一些新的问题。目前实施lims系统所出现的几个问题刚才在前面提到过lims系统的核心就是检验流程控制、质量控制、数据跟踪溯源。下面就对lims系统的这几个核心问题进行逐一的讨论。1、检验流程控制方面的问题。随着我国第三方实验室的业务范围的不断扩大，检验类型也是越来越杂。比如药检行业除了检验药品以外还同时检验食品、医疗器械等品种。而它们的检验流程、检验方法、检验依据又完全不同。这时lims实验室管理系统就出现了问题，尤其是国外的lims系统，它严格执行实验室的规范。这就在灵活性上带来了问题，当业务范围不断扩大的情况下，lims系统就不能满足业务的需求了，而lims系统的规范、代码都是国外制定和开发的，我们又无权进行修改。问题就随之而来，投入了巨额资金却带来了应用的回报，这时它就成了鸡肋，食之无味、弃之可惜呀。2、质量控制的一些问题。目前我国实验室质量控制主要都是遵从实验室认可、认证的准则。而目前我国实验室的认可/认证还没有对lims系统这一方面的质量认证。各个实验室就根据认可/认证的准则，结合自己的情况，各种制定了不同的质量控制程序，而没有统一的规范性。而国外lims系统遵循的准则和我们又有所不同，这就与实验室认可/认证的准则出现了偏离。质量问题无小事，这也只有在LIMS系统在我国形成了统一规范后才能有好的解决办法了。３、数据的跟踪溯源问题。对于实验室而言，数据的跟踪溯源是实验室的重中之重。只有有效的数据跟踪溯源才能保证检测数据的科学性、有效性和公正性。LIMS系统这个方面有着很强大的功能，可以对每一个数据操作进行跟踪，并且具有很强大的仪器接口功能，可以直接从仪器数据接口直接读出数据然后直接进入到lims系统中。这样有效的减少了人为操作带来的误差和人为干扰的因素。但是，目前我国实验室的检验仪器设备还比较老旧，还有很大一部分仪器连数据接口都没有。只能对部分仪器进行数据采集、而一些老旧的仪器又无力全部更换，只能继续使用。这从质量控制方面来讲又带来一些问题，同样的一个实验室就要制定两套不同的质量控制程序，一个是针对数据自动采集的管理程序，另一个还有手工记录数据的管理程序。这就给本来就很复杂的检验工作带了新的工作量，并且不利于实验室的质量控制。以上只是lims系统实施出现的几个核心问题进行了一个简单的阐述，下面对lims系统的选择和实施上提几点建议，供大家参考。1、lims系统实施不是几个人或几个部门的事情，而是要领导带头全员配合，全体人员重视起来，每个人都把好关，只有通过大家的努力才能保证lims系统顺利、成功的实施。2、进行详细全面的调研、分析是lims系统实施的基础。前期的考察、调研时一个非常漫长的过程，有了充分的调研、分析才能正确的选择LIMS系统。这是实施lims的前提，也是lims系统能否实施成功的关键和基础。3、要明确实施lims系统的目的，选择一个合适自己的厂商。要知道LIMS系统并不是万能的，它既不能代替仪器的工作站软件，也不能简化我们的检验流程。它只不过更加规范我们的检验工作，使每一步都有源可溯，满足实验室认证认可的要求。LIMS系统作为一个管理系统，他的重点还是在管理上，要符合实验室管理的规范，在满足管理的基础上尽可能的提高检验的效率，减少检验中人为操作所带来的一些误差。这样，有了明确的目的和方向才能保证我们在选择时候，选择一个适合自己需求和未来的发展的lims系统。4、在实施lims系统的过程中，要逐渐发现问题，不能一步到位。要想成功实施LIMS系统，首先领导要重视并且全员参与，尽量提供lims系统实施所需的环境和资源。其次，系统实施不能操之过急，要一步一步扎实的推进，不能因为保证工期，而影响实施的质量。最后，就是在实施的过程，要不断的发现问题，解决问题，最后对所有的问题及时的进行总结。在进行测试、试运行的时候要尽量的去发现问题、解决问题，避免正式运行后仍有错误发生，造成不必要的损失。5、提供长期、有效、及时的售后服务，也是LIMS系统稳定运行的必备保障。神鹰LIMS是天健通泰科技在神鹰TDM多年成功经验的背景下，面向标准化实验室推出的又一个具有行业领先技术的实验室信息管理系统软件。具有独立自主知识产权，可以针对客户需求做出迅速调整的成熟软件系统。LIMS实验室管理系统满足ISO/IEC：17025体系的全部要求，对实验室的资源、样品、分析任务、实验结果、质量控制等进行合理有效的科学管理。LIMS管理系统可保证您实验室数据的完整性、合法性以及可追溯性；极大地减少了实验室管理的人工成本，使得错综复杂的流程管理能够有条不紊的进行。（来源：网络，版权归原作者）

• 第三方检测市场研究”公众微信号开通啦！大家搜索“第三方检测市场研究”或微信号"test2005"添加关注，也可以扫描以下二维码添加。我们将免费提供实验室技术、管理、市场和资质认可等信息的解读。 有偿提供实验室各类方案、计划，如需购买方案或预约编写，请戳//bbsfiles/images/_3.jpg

• 我是做第三方检测的，学的是化学分析，经常逛仪器信息网，看到诸如仪器技术，行业应用，管理认证，采购交流等等许多大的论坛版面其中唯独找不到关于第三方检测的，我想像我这样在第三方检测机构的经常逛仪器信息网的人不在少数，希望能够有个第三方检测的论坛让我们这些做第三方检测的人有个交流的地方，大家集思广益，讨论一下是否有必要单独创建一个第三方检测论坛？谢谢

• 第三方检测公司如何理解相关方 GB/T19000中提到了一个名词，“相关方”。，那么相关方是什么概念呢？对我们第三方检测公司来说，相关方是不是不存在？需不需要考虑？首先我们来看标准，标准中提到：由于相关方对组织持续提供符合顾客要求和适用法律法规要求的产品和服务的能力具有影响或潜在影响，因此，组织应确定： a)与质量管理体系有关的相关方； b)与质量管理体系有关的相关方的要求。 组织应对这些相关方及其要求的相关信息进行监视和评审。那么如何确定相关方呢，在QMS体系中有五大相关方，所有者、供方、顾客、员工、社会，而我们第三方检测公司的相关方有哪些呢，首先所有者，这个在第三方检测公司里也存在，由于很多第三方检测公司起步时是以股东入股的方式进行的，所以这里的相关方指的不是股东，股东并不是所有者，企业所有权的拥有者即法人代表等执行企业管理职能的人才是所有者。这就有一个问题了，股东入股要不要参与决策，要不要增设董事等问题。所以我们在确定这个相关方的时候，要有法人证明或者法人授权。 其次是供方，也就是我们经常说的供应商，这个在第三方检测公司属于比较重要的角色，采购的仪器试剂、实验室装修、仪器校准、搬迁等都是需要进行确认和验收的。 然后是顾客，在第三方检测公司，我们称之为客户。客户需要我们的“产品和服务”是检测服务，如何提高顾客满意度，这个无论在第一方还是第三方都是比较重要的话题。所以我们可以根据顾客的需要，综合检测公司自身的资源，进行管理评审，选择下一步的发展方向，确定扩项项目等。 另外还有员工，在第三方检测公司大概可以分为检测员、采样员、业务员、资料管理员、设备管理员、报告管理员、材料管理员、样品管理员、监督员、质量技术负责人、授权签字人等，这些人员的选择、招聘、确认、培训、考核、授权以及监督、监控和能力的持续确认，在我们的RB/T214上说明的很清楚。 最后着重讲的是社会，这个在第三方检测公司来说，比较陌生，但又时刻接触。比如易制爆、易制爆试剂的购买，危险品运输和储存，检测公司的环评、排污许可证等等，还有就是判定标准，很多检测标准中并没有判定标准，很多检测类别分类中在检测标准中没有，我们还要进行有关这些行业、国家标准的查新、归纳总结等。 在第三方检测公司进行审核时，这些资料也是必须要存在的，正确识别和确定相关方和相关方的要求，对我们第三方检测公司的发展有着良好的促进作用。

• 浅谈第三方检测公司的供应商管理 摘要：在检测行业迅猛发展的今天，带给检测公司尤其是第三方检测公司以前所未有的机遇和挑战，对于供应商管理的好坏直接影响到检测公司的正常运行，如何进行正确的供应商管理是第三方检测应该重视的一件事。 那么第三方检测公司该如何建立和优化供应商管理呢？主要从以下几点来看，第一建立清楚的供应商管理流程，第二建立相应的供应商分类，第三，确定管理供应商的人员，第四，正确运用指标评价供应商。 首先，我们要建立一个清楚的供应商管理流程。因为供应商管理本身属于动态管理，不可能只有一个供应商不再进行改变。那么从开发供应商到供应商选择、确认、评价等步骤应该清楚系统，确保供应商为公司正常开展检测业务及时提供可靠的产品保证。我们在寻源阶段就要找到最合适的供应商，在日后的管理方面就有很大的保证。事后管理对于公司和供应商而言，都不是好事。如果供应商管理流程不健全，采购只有在发生问题之后才介入，采取惩罚措施，于事无补，并且供应商也是有选择性的淘汰客户。 其次，供应商要进行分类。具体分类可以从品质和种类进行划分，品质分为高中低级别，种类根据仪器、耗材、标准品等分类，一个种类里可以有两三个供应商，这几个供应商要分清品质高低。另外不要分散铺网，每一个种类分N多个供应商，这样管理起来很麻烦，对于采购和管理人员来说不是好事。 然后我们要确定管理供应商的人员。采购无论在哪个国家都是一个腐败衍生的职位，如何保证自己的人员不被劣质供应商腐化，从一开始就确定各个管理供应商的人员并且确定职责。对第三方检测人员来说，采购员负责供应商发现，选择。检测员可以做验收人员，产品到达后做确认，产品使用后给反馈，管理人员负责进行评价。 最后，要应用正确的指标去评价供应商。一个供应商的评价可以从质量、成本、交期、服务、技术、资格、其他指标进行评价。这个评价指标其实也涉及到产品分类，比如有一些耗材是属于实验室检测服务外的耗材，那么质量比例可以低一些，比如仪器、试剂等与检测服务直接相关的产品，质量权重当然要大一些。综上，只有正确进行供应商管理和优化，第三方检测公司才能够得到交期快速、成本合理、质量服务好的产品以保证检测工作能够正常运行。

• 如果您属于第三方实验室或第一方实验室，正在寻找一种工具，能够帮助实验室提高工作效率，符合ISO17025检测及校准实验室能力通用要求；能够通过该工具发挥自己的创造力,建立符合自己的lims系统，请关注栗子实验室信息管理系统。栗子实验室管理系统由北京栗子信息技术有限公司开发，致力于为实验室提供优质、经济的LIMS系统，栗子实验室信息管理系统的产品定位是提供一款具有创造力的lims工具，用户用这款工具通过自己的定义和理解，在栗子实验室信息管理系统的框架体系下，建立遵循ISO17205并且符合自己实验室的LIMS系统。栗子实验室信息管理系统的创造力体现在检测能力、检测指标可自定义，可以适应各个行业的检测能力 工作流程可以自定义，可以自定义检测流程、复测流程、比对流程、外包流程等。业务模板可以自定义，可以自定义样品登记模板、业务登记模板等；可以自定义字符、日期、数值等各种类型的字段，可以定义业务窗口的显示风格；原始记录单可以自定义。可以自定义重量法、容量法、仪器法等各种类型的模板，支持四舍六入五余双的实验室修约方式；报告模板自定义，支持自定义任何格式的报告模板，自动判定项目是合格，自动判定产品的登记，支持电子签名 工作流程可以自定义，可以自定义检测流程、复测流程、比对流程、外包流程等.遵循SO17025检测及校准实验室能力通用要求，可追溯，严格的、回退、修改、审计机制。光说不练假把式，写的再好不如您亲自体验，体验方式如下下载在线安装包，安装包下载点我（下载后解压安装）。在线安装点我（要先看安装教程哦，如安装中遇到问题，请下载安装包，或联系我们）， 安装教程点我。进入LIMS殿堂第一步，让我们从熟悉从行业案例开始吧！注：不同行业的实验室流程基本相同，不同的是原始记录、报告等质量记录和质控措施，如没有您所在行业的实例，请您参考其它行业。第三方实验室(食品&质检)第一方实验室(化工&石化)第三方实验室（废水、地表水、地下水、管网水）第三方实验室(废气)第三方实验室(噪声)进入LIMS殿堂第二步，自己动手之基础篇相信通过案例的体验，您已经迫不及待，想要自己动手建立属于您实验室自己的LIMS系统了吧，那么我们就正式开始LIMS系统的学习之旅吧。学习本章需要管理员权限的账户，期待您联系我们索取！400-151-0091第一章从标准开始-建立自己的检测能力库第二章如何在业务登记中使用检测能力库第三章如何定义系统编号第四章如何登记一个新任务第五章任务分配中如何设定岗位第六章LIMS中怎么修约第七章定义您的第一个原始记录单模板第八章原始记录和报告模板权限第九章定义报告模板和委托协议书第十章检测数据输入及审核第十一章报告编制审核及批准第十二章基础篇结束总结进入LIMS殿堂第三步，自己动手之进阶篇流程定义详解原始记录模板之重量法模板的定义原始记录模板之容量法模板的定义原始记录模板之微生物模板的定义原始记录模板之仪器法模板的定义实验室修约之科学计数法报告的表头定义和自动分页角标的定义统计报表的概念及定义

• 浅谈第三方检测公司的分包管理 第三方检测公司在实际运行过程中，有时候会出现在某一段时间样品量比较大，设备故障等情况，实验室没有能力进行检测的时候，可以采取分包。RB/T214中4.5.5条款中规定，分包方要具有该项目的资质并且有能力完成，而且要取得委托人的同意等。可能有些人对分包有一定的误解，认为自己没有能力做，没有资质的情况下进行分包，实际情况我认为大部分的情况并不是这样。我们可以不从RB/T214的条款中进行理解，我们从GB/T的条款也可以看出问题，同时可以对以前没有关注过的一些问题进行理解。首先GB/T中8.4.1总则第一句话就是组织应确保外部提供的过程、产品和服务符合要求，外部供方的产品和服务是构成组织自身产品和服务的一部分，这句话换过来说就是只能是一部分，而另外一部分要由组织即检测机构进行完成的，如果没有能力去做这个产品和服务（检测项目资质），怎么能够进行分包呢？至少我认为的是有能力分包，没有能力的分包情况存在不存在呢？也存在。标准中并未完全规定不行，根据每个地方的法规不同，可以进行无资质分包，但是这时候就有很大的风险，首先是失去客户的风险，如果是没有能力进行分包的情况下，客户下一次为什么还要找你呢？你的报告上注明了没有能力进行检测，为什么不直接找这一家呢？再有，承担分包方检测结果出错的后果，既然你没有能力，那么你如何进行检测分包方的检测结果，如何复核，仅凭资质文件吗？其次，RB/T214中提到，检测机构在实施分包前，要建立和保持分包的管理程序，我认为没有完全讲清楚，如何建立和保持分包的管理程序，这个在GB/T中也提到了，8.4.2条款中组织应确保外部提供的过程保持在其质量管理体系的控制之中，规定对外部供方的控制及其输出结果的控制，还要考虑能否稳定满足客户的需求及外部供方实施的有效性，最后还要确定必要的验证条件。我们在分包前，首先要考虑的是分包的技术能力和质量体系，要对分包方进行评审，确定其能力符合要求，尤其是法人及资质证明、能力范围、人员和设备资源等相关信息，并保存记录。其次我们应该评审分包方的结果，起码要拿到原始记录，不能出现其他检测公司伪造个数据，你不检查直接给客户的情况，还有要定期对分包方进行验证，比如考察其相关质控、记录等，最后要以分包协议进行界定，出现法律纠纷时，分包方承担的法律责任和义务。综上，分包对于第三方检测公司来说应该是迫于无奈的举动，不能随便拿几个资质就开始挂羊头卖狗肉，随意分包，皮包公司的风险对于检测公司和客户都是巨大的，要在分包之前进行风险评估，不做随意分包的皮包公司。

• 第三方检测机构，在产业发展和市场和谐稳定方面所起的作用举足轻重，尤其是国字号的第三方检测机构，包括国家质检中心在内的第三方检测机构，虽有权威，但也有大忌 虽被敬畏，但对“大忌”也需时时切记。　　什么是“第三方”?相互关联的两个主体之外的客体。通俗例子：消费者是第一方，为消费者提供产品(包括服务)的厂商是第二方，围绕这个买卖双方的但又不属于任何一方的就是第三方。如法院、公证处等。　　什么是“第三方检测机构”?通俗的说，就是在产品生产和流通领域，在法律和利益等方面独立于消费者和产品厂商的检测机构。其特征往往与“公正”、“公平”、“客观”、“科学”等关键词紧密相连。　　在现行体制内，被冠以“国”字号的第三方检测机构通常被命名为“国家XX产品质量监督检验中心”(以下简称国家质检中心)。　　第三方检测机构，在产业发展和市场和谐稳定方面所起的作用举足轻重，尤其是国字号的第三方检测机构，在消费者心目中是“权威”的代称，在产品厂商眼里是敬畏的对象。　　然而，身在国字号第三方检测机构的人都清楚：“国家”二字之沉重，不是什么机构都能担得起的 “第三方”三字之严肃，不是什么部门都能做得到的。　　包括国家质检中心在内的第三方检测机构，虽有权威，但也有大忌 虽被敬畏，但对“大忌”也需时时切记。　　一忌，“角色”越界　　从现行法规条文可以看出，“国家质检中心”其实就是国家产品质量监管部门(行政监管及执法)为贯彻《产品质量法》等法规，行使法律赋予的本部门的职责，在依法执行产品质量监管过程中提供产品检测的技术服务机构。　　按照现在的说法，就是政府采购的一种技术服务的提供单位。　　既然是技术服务的属性，那么国家质检中心具有的只能是依据标准对产品质量符合性的判定权，而没有对行业或产品质量监管的行政权(如抽查任务的生成、检测结果的发布等)。　　因政府行使监管职能的需要而采购的—第三方检测机构，才被冠以国家质检中心，也就是说，在执行政府委托检测任务时，第三方检测机构使用国家质检中心的名义才是正当合法的，否则就有违法违规嫌疑。　　从这个意义上看，国家质检中心虽是政府服务采购的技术服务提供商，但所谓的对公权力而言的“法无规定不可行”是同样适用的，而不能“法无规定尽可行”。　　二忌，屁股坐歪　　商品市场追求的一定是买卖双方在法律框架下的互利共赢，哪方利益被侵害或受到压制，可行一时却无法长久。　　作为维护商品市场健康运行不可缺少的产品检测机构，不论是经政府授权的还是民间自发的，只要声称是“第三方”机构，都要站在 “公平、公正、客观”的立场上从事一切技术活动。　　合法存在的买卖双方具有同等的法律地位，都需要公平公正的对待。即使存在强势与谁弱势之分，那也不是影响产品检测结论的因素 即使存在行业与市场的乱象，那也不是第三方检测机构区别对待消费者和产品厂商的理由。　　三忌，心态不正　　带有预设成见的检测行为，怀有“敌意”的检测活动，以维护消费者权益的名义，恶意打压产品厂商 以维护产品厂商利益的名义，侵害消费者或委托方(如政府)的知情权 为某一厂商的利益侵害另一厂商的利益等，都是第三方检测机构的大忌。　　心态不正，源自不当利益的驱使，源自本位意识的膨胀，不但有悖于第三方地位，还可能涉嫌违法。　　心态不正下的检测活动，可能导致大小厂商、国内外品牌、新老企业以及消费者，在相同情况下，得到不一样的待遇或结果。　　政府监管部门(检测机构的授权方和委托方)也可能是心态不正的中枪者。　　四忌，自挖陷阱　　第三方检测机构也是一个法律责任的主体，他的行为受到法律的保护，同时也要承担相应的法律责任。　　严肃谨慎应是第三方检测机构的基本素质，控制风险应是第三方检测机构的常态措施。目的正当、程序正义、过程严谨、方法正确是必须努力做到的。　　比如，检测规则的合理合法性，尤其当偏离标准时，检测规则是否经过评估?由哪个层级评估?是否履行了审批或公示?　　比如，采样代表性的评估、样品真伪的甄别、样品及厂商信息的核实、检测结果是否与样品厂商提前确认?是否留出提前复议的时间?等等。　　如果第三方检测机构没理清这些问题，就等于给自己挖了陷阱。　　当从消费市场采样时，采到仿冒样品的可能是存在的，这在我国国情下一点也不奇怪。前不久发生的小米充电宝争议事件就是典型案例，一方面此次抽查主管部门十分被动，公信力受到影响，另一方面小米躺枪咽下的苦水谁能帮助分流?　　监管部门可以重发声明，检测机构可以被追究责任，但躺枪的产品厂商受到的声誉及经济上的损失不是一个重发的声明或某些人的担责可以弥补的。　　不让无辜受冤，这也应该是第三方检测机构社会责任的一种表现。　　需要再次强调的是，第三方检测机构，即使冠以国字名号，也只是国家产品质量监管体系中的一个技术服务与技术支持机构，是产品质量监管部门的一个技术助手，而不是监管主体。在法律上与被监管的产品厂商具有同等地位。面对产品厂商的“仰视”，第三方检测机构不能就自以为高高在上。　　一旦产品厂商的合法利益底线被触及，就会利用法律手段争取自己的权益，这就是第三方检测机构随时面临的法律风险。　　同样，当国家委托方或消费者发现被第三方检测机构的检测结果忽悠了，也会毫不客气的使用自己的行政权力或法律武器。　　五忌，水平失准　　第三方检测机构的权威，除了依赖上面提及的“公平、公正、客观”还有一个重要基础就是“科学”。　　出具的检测数据是否经得起验证?得出的检测结论是否经得起推敲?给出的意见和建议是否有科学依据?都关系到第三方检测机构的权威性。　　前不久，某个以国家质检中心名义发布的对空气净化器产品的检测结果及评价中，仅以空气洁净量(CADR)与产品的市场售价的比值，定义产品的性价比，并据此把检测结果做了排行和比较，就没有体现出第三方检测机构应有的专业性和科学性。在业内稍有专业常识的人，仅从这一表现，就会对所有检测结果的正确性和可信度产生质疑。　　附相关法规条文　　《产品质量法》规定　　“国家对产品质量实行以抽查为主要方式的监督检查制度……”。“监督抽查工作由国务院产品质量监督部门规划和组织”(第十五条)。　　“产品质量检验机构必须具备相应的检测条件和能力，经省级以上人民政府产品质量监督部门或者其授权的部门考核合格后，方可承担产品质量检验工作(第十九条)。　　《产品质量监督抽查管理办法》规定　　“组织监督抽查的部门应当依据法律法规的规定，指定有关部门或者委托具有法定资质的产品质量检验机构(以下简称检验机构)承担监督抽查相关工作” (第十二条)。　　《国家产品质量监督检验中心授权管理办法》规定　　“国家对承担政府部门组织实施的产品质量监督抽查中的产品质量检验、产品质量争议仲裁检验等工作，并以国家产品质量监督检验中心的名义向社会出具具有证明作用的数据和结果的产品质量检验机构实行授权制度” (第二条) 　　“国家质检中心应当按照相关技术规范或者标准要求的程序，在授权证书的有效期和授权范围内，对外出具产品质量检验报告，并在检验报告封面适当位置加盖国家质检中心授权标志章(第十二条)。

• 最近在做第三方环境监测工作。2018年环境保护方面出台了好多新标准，大家都是在什么网站查看的即将实施的标准。下面两个国家级网站找不到详细信息啊。国家标准化管理委员会环境保护部_ 环境保护标准

• 目 录一、各地有关第三方环境检测机构的政策和文件规定1.环保部发布关于推进环境监测服务社会化的指导意见2.全国各地第三方环境检测实验室准入规定3.江西省环保厅出台《江西省社会环境监测机构环境监测业务能力认定管理办法（试行）》4.重庆市环境保护局关于印发《重庆市环境监测服务社会化管理办法》的通知 重庆市环境监测服务社会化管理办法5.江苏省社会环境检测机构环境监测业务能力认定管理办法6.浙环发〔2013〕44号“关于推进环境检测市场化工作的意见”7.放射性监测机构资质将向社会放开8.国家开考社会环境监测机构人员上岗证9.三部门印发政府购买服务管理办法10.社会环境监测机构申请检验检测机构资质认定须知-重庆二、有关第三方环境检测机构的技术文件规定1.第三方环境检测机构实验室建设指南2.申请资质认定的检验检测机构有新规3.《检验检测机构诚信基本要求》标准将发布4. 《环境监测数据弄虚作假行为判定及处理办法》2016年1月1日起实施5.2015版评审准则发布啦6.资质认定申请书中的“仪器设备配置一览表”应该这样填7. 国家环境监测网质量体系文件8.紧急求助关于验收监测资质要求的法规或文件9.环境监测技术服务市场逐步社会化10.环境检测市场社会化进程（三）11.环境检测市场社会化进程（四）12.强检的环境监测仪器知多少？13.环境检测的报告模板问题三、第三方环境检测机构交流讨论1.第三方环境监测机构该如何监管？2.第三方环境监测机构前景如何？3.通过CMA认证的检测机构需要通过行业的准入认证吗？4.三方检测机构备案5.关于第三方独立实验室的一些问题6.第三方检测机构能对环境检测结果进行评价吗？7.第三方二噁英检测实验室8.第三方检测公司采样化验有提成吗？9.环境监测真的是一个循规蹈矩的行业吗？10.环境监测工资算法11.想请教一下，去外市开展环境检测业务需要在当地市环保局备案吗？12.福建第三方环境检测机构需要哪些资质？13.政府应该向社会购买哪些环境监测服务？14.环境检测人员需不需要职业资格准入15.环境服务业主要是做什么的？16.自动在线监测引入第

• 170257中有个检测工作的分包管理程序，一般来说就一些型式试验会交给第三方做，那这些第三方算是分包方吗……好像也没和他们签什么协议之类的

• 真诚求助CNAS第三方检测类的管理体系结构框架图，之前没有接触过这方面，现在实验室作为第三方检测类实验室准备申请CNAS认可，但是不知道怎么编写管理体系的组织结构，不知道都需要什么负责人，分工该是怎么样的？请大侠赐教！新用户积分不多，真诚求助。

• 与第三方检测差距在多少之内是正常的？同一批号的东西我测是未检出，第三方测是0.4mg/kg，这个误差合理吗？

• 从人事管理探讨第三方检测机构发展趋势检测行业是随着社会的进步和发展，基于全社会对使用产品的质量、对生活健康水平、对生产生活的安全性、对社会环境保护等方面要求的不断提高，并随着检测技术的不断进步而逐渐发展起来的行业。随着人们生活水平不断的提高，推动人们对消费品需求不断上升，同时随着消费者对产品质量意识的不断提升，越来越多地注重产品的安全、卫生、环保等方面要求。消费品制造商为满足市场需求，相应地会对自身产品在诸如安全、卫生、环保、可靠、耐用等方面的性能检测指标提供给零售商或消费者，并同时对其上游供应商提出更多的各项指标检测方面的要求，推动了消费品检测需求上升。同时中国制造业快速发展及产业转型升级，推动工业品检测需求上升。近年来，国际贸易的迅速发展，企业间的制造项目或产品就需要借助相应的资源进行第三方监督和检验，中国已成为“世界工厂”这是不争的事实，与国际间的交往合作日益增多，工业项目越来越多，国内和国外的客户要求也越来越多样化。因此第三方检测机构因它的灵活性，也越来越显现他们的检验优势。对于检测机构这样的技术机构来说，设备是硬件，人才是软件，不管是第三方检测机构还是普通的实验室，两者缺一不可。目前在中国很多的检测实验室都带有一定的官方性质，尤其是一些事业性检测机构，从这些机构在人员配置上的一些体制问题来探讨第三方检测机构发展的必然性及趋势。1.不拘一格降人才 事业的发展，机构的兴旺离不开人才，但是仅仅有了人才，而没有一个很好的体制来发挥每个人的潜力，做到“人尽其才”。那再多的人才只能制造更多的矛盾。1.1 同工同酬，优胜劣汰“同工同酬”说过很多年，在目前很多的检测机构，尤其是一些事业性检测机构，这仅仅是一种理想状况而已。“不同工，更不同酬”是目前事业性检测机构普遍存在的一种现象，已经到了大家都习惯、默认的程度，基本上一个实验室的检测任务都靠临聘人员完成，尽管临聘人员在这实验室的人员仅仅是少半而已，因为在编的没有个人绩效考核，也不会影响工资收入。而作为第三方检测机构更多的是企业性质，尤其可以借鉴国外第三方检测机构一些先进的管理模式和先进的管理机制，来破解“不同工，更不同酬”，在更大的程度上实现“同工同酬”，通过多元化的激励机制，更好的发挥技术人员的工作潜能与技术潜力。同时我们也清楚不管是哪类检测机构，都是靠技术来支撑与发展。所以必须要在一个良好的体制建立一支高素质的技术队伍，形成一个“能者上、庸者下”的良好工作氛围。不管是在编的还是临聘人员，都将工资、奖金与工作业绩挂钩，实行严格的量化考核制度，根据实际工作需要确定岗位，根据岗位确定工资报酬，竞争上岗，择优录用，激发每位职工的潜能，实现技术机构人员的优化组合，真正做到“优胜劣汰”。1.2 激活人事管理制度，合理分配多劳多得目前很多事业性检测机构人事管理制度，基本上带有半官方性质，编内编外在待遇、培养、发展等各方面有一定的差距，现有的人事管理制度很难有效调动编外技术人员的工作积极性，因为不管他们多么努力与积极的工作，很多制度在限制他们的发展；同时目前的人事管理制度对在编技术人员也没有激励作用，因为入编后，不管他们是否真正在辛苦工作在检测一线，还是每天喝喝茶、看看报，他们的待遇，发展机会都是一样的。第三方检测机构就不存在这方面体制的约束，完全可以按照有利于第三方检测机构事业发展需要、有利于实验室技术水平发展、有利于促进人才队伍素质提高对人事管理制度进行改革，将技术类人才的管理权下放到各个用人实验室，使各个实验室能真正的发挥人事管理制度的主动性，真正为实验室检测水平和能力的提高做出一定的贡献。目前事业性检测机构收入分配制度趋于单一，而且编内编外待遇相差很大，脱离了人员实际工作中贡献与能力，收入分配体现不了多劳多得。作为第三方检测机构完全可以按照市场化来运转，技术人员的待遇同他相应的技术水平、检测能力、工作岗位、实绩贡献等对等。同时也考虑对学术及技术带头人给一定的补助，尤其是在新方法研究、新项目开检做出贡献的人员要给予补贴。进一步深化用人制度和收入分配制度改革，搞活用人机制，实行多元化收入分配制度，逐步建立起重实绩、重贡献，向优秀人才和关键岗位倾斜、形式多样，自主灵活的分配方式，充分调动技术人员的积极性和创造性，促进人才资源合理分配。1.3 加强人员培养，构建人才梯队由于国内检测行业相对国外同行业起步较晚，相关的培训机构的起步也较晚，造成了培训系统不完善，从业的技术人员在检测方面的知识也相对缺乏，专业知识面比较窄。而且目前相当多事业性检测机构对技术人员培训不重视，在他们看来，技术人员掌握一定的检测能力后，就可以按部就班的重复测试。殊不知随着科学技术高速发展，随着经济水平不断的提高，人们对于检测的要求越来越高，尤其是近年来突发的食品安全事故，更加考验检测机构技术储备情况及应急反应能力。在目前事业性的检测机构因为人事管理制度，决定了走出去培训成为与技术不相关人员的一种福利，而内部培训仅仅是走走过场，更有甚的连内部培训的计划都没有。作为第三方检测机构因为有更主动的人事制度，可以参照国外第三方检测机构先进人才管理模式，完善技术人才外部引进和内部培养的措施，建立一支高素质、高水平的技术专家队伍，积极鼓励技术人员参加检测业务技能培训，组织技术人员积极参加技术研讨会，选派技术骨干到技术水平更高的技术机构进行参观学习，并聘请相关专家对技术人员进行讲座与培训。同时也可以通过积极开展技术大比武，使得每个技术人员都成为业务精通、技术精湛的复合型人才，不断提高整个检验队伍的素质。创新人才培养机制，完善人才评价方案，建立多层次多渠道的技术人才开发和培养体系，构建多层次人才梯队。2.千方百计引进人才 想方设法留住人才技术发展，人才是关键，加快检测机构的发展，就要不拘一格，充分利用各种人才资源、给力引进、培养检测机构事业发展急需的科技带头人、技术骨干力量、懂技术会管理的复合型人才。作为第三方检测机构在人事管理制度方面可以取长补短，借鉴国外第三检测机构一些先进的人事人才管理模式，对比事业性检测机构存在的问题，剖析自身存在的问题，对照改进。坚持“用好现有人才，稳定骨干人才，引进急需人才，培养未来人才”的原则，加强专业技术人员队伍建设，“送

• 在向企业客户供货、或者投标过程中，常有客户要求提供第三方检测报告，或第三方权威检测报告，或有资质的第三方检测报告，如果是您要响应客户要求，您会把样品送到哪种类型或级别的检测机构？一定需要CMA或CNAS章吗？

• 哪位朋友可以共享下您的第三方检测公司的员工手册、和第三方检测行政管理、实验室管理方面的资料，谢谢！

• 真诚求助CNAS第三方检测类的管理体系结构框架图，之前没有接触过这方面，现在实验室作为第三方检测类实验室准备申请CNAS认可，但是不知道怎么编写管理体系的组织结构，不知道都需要什么负责人，分工该是怎么样的？请大侠赐教！新用户积分不多，真诚求助。

• 单位想以兽药残留检测为起点，建立第三方检测实验室，相关方面的资料得我去准备。法规方面的东西我基本上都查到了，但好多具体的东西不知怎么去写，比如第三、四层次文件包括哪些，按什么模板去写，有在第三方工作或有这方面资料的老师，能否分享这方面的资料？谢谢！

• 对第三方检测有些疑问，是不是获得CMA、CNAS、CANL认可的实验室就可以在获得认可的项目范围内进行第三方检测？另外请教一下，如果实验室要挂一个XX市化工产品检测中心的牌子可行吗？就象水厂的实验室挂XX市水质检测中心的牌子一样。

• 根据国务院关于加强质量认证体系建设促进全面质量管理的意见（国发〔2018〕3号）规定，国家将清理涉及认证、检验检测的行政许可和行业评价制度。清理、整合、规范现有认证事项，取消不合理收费，坚决治理认证乱象。凡已建立国家统一认证制度的，不再设立类似的合格评定项目。面向社会的第三方技术评价活动应遵循通用准则和标准，逐步向国家统一的认证制度转变。清理涉及检验检测能力的行政许可事项，避免重复评价，实施统一的资质认定管理。鼓励认证机构为企业提供检验检测认证“一体化”解决方案和“一站式”服务，降低企业制度性交易成本。 国发〔2018〕3号）还要求简化规范认证机构审批、检验检测机构资质认定程序。完善认证机构审批程序，整合检验检测机构资质许可项目，精简整合技术评审事项，积极推动“五减”（减程序、减环节、减时间、减收费、减申请材料），实行申请、审批、发证全流程网上办理，提高便利度和满意度。严格从业机构资质认定标准，建立行政许可和技术评价相结合的资质管理制度，确保从业主体具备相应资质能力。 目前不少省市第三方环境检验检测机构在通过CMA认证后仍需通过所在省市环保部门的行业准入评审、备案或名录管理等类似的合格评定，随着清理涉及认证、检验检测的行政许可和行业评价制度，简化规范认证机构审批、检验检测机构资质认定程序和为检验检测机构减负等政策的兑现，将直接利好于第三方检验检测机构。

JSON Web Tokens，又称 JWT。本文作者将详解：为何 JWT 不适合存储 Session，以及 JWT 引发的安全隐患。望各位使用前三思。

断断续续翻译了一周，今天终于审校一下，算是填坑完毕。自己博客广告走一波：。

十分不幸，我发现越来越多的人开始推荐使用 JWT 管理网站的用户会话（Session）。在本文中，我将说明为何这是个非常非常差劲的想法。

为了避免疑惑和歧义，首先定义一些术语：

需要澄清的是：本文并非挑起「永远不要使用 JWT」的争论 —— 只是想说明 JWT 并不适合作为 Session 机制，且十分危险。JWT 在其它方面的确有其用武之地。本文结尾，我将简短地介绍一些合理用途。

很多人错误地尝试比较 Cookies 和 JWT。这种对比毫无意义，就像对比内存和硬盘一样。Cookies 是一种存储机制，然而 JWT Tokens 是被加密并签名后的令牌。

它们并不对立 —— 相反，他们可以独立或结合使用。正确的对比应当是：Session 对比 JWT，以及 Cookies 对比 Local Storage。

JWT 坊间流传的优势

在人们安利 JWT 时，常常宣扬以下几点好处：

• 无需询问用户「本网站使用 Cookies」

我将会逐条阐述以上观点为何是错误或误导性的，其中部分解释可能会有些模糊，这主要是因为这些「好处」的表述本身就比较模糊。你可以在文末找到我的联系方式，我将十分乐意对更加具体的「好处」进行分析阐述。

这是列表中唯一一条在技术层面部分正确的「好处」，但前提是你使用的是无状态 JWT Tokens。然而事实上，几乎没人需要这种横向扩展能力。有很多更简单的拓展方式，除非你在运维像淘宝这样体量的系统，否则根本不需要无状态的会话（Stateless sessions）。

1. 在单台服务器上运行多个后端进程：只需在此服务器上安装 Redis 服务用于存储 Session 即可。
2. 运行多台服务器：只需一台专用的 Redis 服务器用于存储 Session 即可。
3. 在多集群内运行多台服务器：会话保持（又称：粘滞会话）。

以上所有场景在现有软件系统内都具备良好的支持，你的应用需要进行特殊处理的可能性基本为零。

或许你在想，应当为你的应用预留更多调整空间，以防未来需要某些特殊操作。但实践告诉我们，以后再替换 Session 机制并不困难，唯一的代价是，在迁移后所有用户将被强制登出一次。我们没必要在前期实现 JWT，尤其是考虑到它所带来的负面影响。我将在后文进行解释。

这个真没有。你不得不自行处理 Session 的管理机制，无论是客户端还是服务端。然而标准的 Session cookies 则开箱即用，JWT 并没有更简单。

我暂时还没看到有人成功地阐述「JWT 如何更加灵活」。几乎每个主流的 Session 实现，都允许你直接把数据存储进 Session，这跟 JWT 的机制并没有差别。据我所知，这只是个流行语罢了。如果你不同意，可以随时带上示例与我联系。

一大批人认为 JWT Tokens「更加安全」，理由是使用了加密技术。实际上，签名后的 Cookies 比未签名的 Cookies 同样更加安全，但这绝不是 JWT 独有的，优秀的 Session 实现均使用签名后的 Cookies（译者注：例如 Laravel）。

「使用加密技术」并不能神奇地使某些东西更加安全，它必须服务于特定目的，并且是针对该目的的有效解决方案。错误地使用加密反而可能会降低安全性。

另一个我听过很多次的对于「更加安全」的论述是「JWT 不使用 Cookies 传输 Tokens」。这实在是太荒谬了，Cookie 只不过是一条 HTTP 头信息，使用 Cookies 并不会造成任何不安全。事实上，Cookies 受到特别良好的保护，用于防止恶意的客户端代码。我将在后文进行阐述。

如果担心有人拦截掉你的 Session cookies，那你应当考虑使用 TLS。如果不使用 TLS，任何类型的 Session 机制都可能被拦截，包括 JWT。

无意义，又没什么卵用的特性。在服务端也能实现过期控制，有不少 Session 实现就是这么做的。实际上，服务端的过期控制更加合理，这样你的应用就可以清除不再需要的 Session 数据；若使用无状态 JWT Tokens 且依赖于它的过期机制，则无法执行此操作。

无需询问用户「本网站使用 Cookies」？

完全错误。并没有什么「Cookies 法律」—— 有关 Cookies 的各种法律实际上涵盖了任何类型「对某项服务的正常运行非严格必须的持久性 ID」，任何你能想到的 Session 机制都包括在内。

译者注：然鹅中国并没有。

• 若出于系统功能目的使用 Session 或 Token（例如：保持用户的登录态），那么无论怎样存储 Session 均无需征得用户同意。
• 若出于其他目的使用 Session 或 Token（例如：数据分析、追踪），那么无论怎样存储 Session 都需要询问用户是否允许。

这个真·真没有。存储 JWT Tokens 的方式大概有两种：

• 存入 Cookie：仍然易受 CSRF 攻击，还是需要进行特殊处理，保护其不受攻击。
• 其他地方，例如 Local Storage：虽然不易受到 CSRF 攻击，但你的网站需要 JavaScript 才能正常访问；并且又引发了另一个完全不同，或许更加严重的漏洞。我将在后文详细说明。

毫无根据。目前所有可用的浏览器几乎都支持 Cookies，因此也支持 Session。同样，主流的移动端开发框架以及严谨的 HTTP 客户端库都是如此。这根本不是个问题。

不太可能。用户通常会阻止任何意义上的持久化数据，而不是只禁止 Cookies。例如，Local Storage 以及任何能够持久化 Session 的存储机制（无论是否使用 JWT）。不管你出于多么简单的目的使用 JWT 都无济于事，这是另一个完全独立的问题了。另外，试图让身份认证过程在没有 Cookies 的情况下正常进行，基本没戏。

最重要的是，禁用掉所有 Cookies 的多数用户都明白这会导致身份认证无法使用，他们会单独解锁那些他们比较关心的站点。这并不是你 —— 一个 Web 开发者应当解决的问题。更好的方案是，向你的用户们详细地解释为何你的网站需要 Cookies 才能使用。

以上，我已经对常见的误解做了说明，以及为什么它们是错误的。你或许在想：「这好像也没什么大不了的，即便 JWT 无法带来任何好处，但也不会造成什么影响」，那你真是大错特错了。

使用 JWT 作为 Session 机制存在很多缺点，其中一部分会造成严重的安全问题。

JWT Tokens 实际上并不「小」。尤其是使用无状态 JWT 时，所有的数据将会被直接编码进 Tokens 内，很快将会超过 Cookies 或 URL 的长度限制。你可能在想将它们存储到 Local Storage，然而...

若将 JWT Tokens 存储到 Cookies 内，那么安全性与其他 Session 机制无异。但如果你将 JWT 存储至其它地方，会导致一个新的漏洞，详见，尤其是「Storing sessions」这一部分。

或许成了明确的解决方案。然而，Local Storage 并没有提供任何类似 Cookies 的安全措施。
LocalStorage 与 Cookies 不同，并不会在每次请求时发送存储的数据。获取数据的唯一方法是使用 JavaScript，这意味着任何攻击者注入的 JavaScript 脚本只需通过内容安全策略检查，就能任意访问或泄露数据。不光是这样，JavaScript 并不在意或追踪数据是否通过 HTTPS 发送。就 JavaScript 而言，它就只是个数据而已，浏览器会像操作其它数据一样来处理它。
在历代工程师们经历了各种麻烦之后，终于能够确保没有人可以恶意接触到我们的 Cookies，然而我们却试图忽略这些经验。这对我来说似乎是在退步。

简单来说，使用 Cookies 并不是可选的，无论你是否采用 JWT。

还有更多安全问题。不像 Sessions 无论何时都可以单独地在服务端销毁。无状态 JWT Tokens 无法被单独的销毁。根据 JWT 的设计，无论怎样 Tokens 在过期前将会一直保持有效。举个例子，这意味着在检测到攻击时，你却不能销毁攻击者的 Session。同样，在用户修改密码后，也无法销毁旧的 Sessions。

对此，我们几乎无能为力，除非重新构建复杂且有状态（Stateful）的基础设施来明确地检测或拒绝特定 Session，否则将无法结束会话。但这完全违背了使用无状态 JWT Tokens 的最初目的。

与上文的安全问题类似，还有另一个潜在的安全隐患。就像缓存，在无状态 Tokens 内存储的数据最终会「过时」，不再反映数据库内最新的数据。

这意味着，Tokens 内保留的可能是过期的信息，例如：用户在个人信息页面修改过的旧 URL。更严肃点讲，也可能是个具备 admin 权限的 Token，即使你已经废除了 admin 权限。因为无法销毁这些 Tokens，所以面对需要移除的管理员权限，除非关闭整个系统，别无他法。

实现库缺乏生产环境验证或压根不存在

你或许在想，以上的这些问题都是围绕着「无状态 JWT」展开的，这种说法大部分情况是对的。然而，使用有状态 Tokens 与传统的 Session cookies 基本上是等效的... 但却缺乏生产环境的大量验证。

现存的 Session 实现（例如适用于 Express 的 ）已经被用于生产环境很多很多年，它们的安全性也经过了大量的改良。倘若使用 JWT 作为 Session cookies 的临时替代品，你将无法享受到这些好处，并且必须不断改进自己的实现（在此过程中很容易引入漏洞），或使用第三方的实现，尽管还没有在真实世界里大量应用。

无状态 JWT Tokens 无法被单独地销毁或更新，取决于你如何存储，可能还会导致长度问题、安全隐患。有状态 JWT Tokens 在功能方面与 Session cookies 无异，但缺乏生产环境的验证、经过大量 Review 的实现，以及良好的客户端支持。

除非，你工作在像 BAT 那样规模的公司，否则没什么使用 JWT 作为 Session 机制的理由。还是直接用 Session 吧。

在本文之初，我就提到 JWT 虽然不适合作为 Session 机制，但在其它方面的确有它的用武之地。该主张依旧成立，JWT 特别有效的使用例子通常是作为一次性的授权令牌。

在此上下文中，「Claim」可能是一条「命令」，一次性的认证，或是基本上能够用以下句子描述的任何情况：

举个例子，你有个文件服务，用户必须认证后才能下载文件，但文件本身存储在一台完全分离且无状态的「下载服务器」内。在这种情况下，你可能想要「应用服务器（服务器 A）」颁发一次性的「下载 Tokens」，用户能够使用它去「下载服务器（服务器 B）」获取需要的文件。

以这种方式使用 JWT，具备几个明确的特性：

• Tokens 生命期较短。它们只需在几分钟内可用，让客户端能够开始下载。
• Tokens 仅单次使用。应用服务器应当在每次下载时颁发新的 Token。所以任何 Token 只用于一次请求就会被抛弃，不存在任何持久化的状态。
• 应用服务器依旧使用 Sessions。仅仅下载服务器使用 Tokens 来授权每次下载，因为它不需要任何持久化状态。

正如以上你所看到的，结合 Sessions 和 JWT Tokens 有理有据。它们分别拥有各自的目的，有时候你需要两者一起使用。只是不要把 JWT 用作 持久的、长期的 数据就好。

本作品采用，转载必须注明作者和本文链接