问下JWT思路求大佬指教

JWT一般是用做跨域访问的，token都是在后台解析

JWT已经够主流的了，不需要再去找其他的验证体系。

用JWT就不要用spring-security，spring-security是有状态的，和JWT的风格完全不同，JWT可以实现完全无状态的验证。

路由和JWT没什么关系，前端做权限控制的话，可以验证token是否合法，是否已经过期等。

如果想让关闭浏览器就清空token信息，应该存储在sessionStorage中。一般来说不需要频繁生成新的token，每个token都包含过期时间，过期之前都不需要刷新。

JWT只是作为一个用户通道的权限，用于前端跟后端接口交互，大可不必解析JWT的内容。

JWT是否过期这个也交给后端接口去处理，跟后端接口约定好一个授权状态码，当后端接口返回该状态码时，前端控制重新授权即可。

jwt是携带了你的信息的一段加密后的json，简单可以这么理解，以前是用session，session id存在cookie里面，那么通过一定的加密就能知道连接服务器的个体信息，现在不用session那一套，我在cookie，或者localStorage存着一些服务器验证过的信息，然后每次发送请求就带着他，那么服务器也可以知道我的信息了，这个主要用于前后端分离的项目中，因为前端全是html了，无法在后端取出来session了。
关于安全，其实这个作为主流的方式安全还是很可靠的。
基本的设计思路在于，登录成功后生产JWT然后返回给前端，同时还有一个refresh的值，前端负责存储，当前端请求的时候，把JWT带在header头里，先去判断JWT是否过期，如果过期，用refresh去刷新JWT，然后再请求，如果JWT过期，同时refresh也过期了，那就让前端重定向到登录页面吧。