1.用户输入正确的账号密码在客户端发送请求登录,通过服务端验证后,服务端会返回一个JWT给客户端,JWT的有效时间由服务端决定 2.客户端需要把收到的JWT保存在cookie里面,并设置有效时间,cookie的有效时间由客户端决定(PS:建议客户端cookie和服务端JWT的有效时间设置为一致) 3.客户端每次请求都会要带上这个cookie,以便服务端验证用户身份和JWT的有效时间 4.服务端对收到的JWT进行解密和校验,如果验证成功会返回有效信息,如果验证失败会返回401 5.当客户端访问页面前,浏览器会自动查看该所属页面的cookie是否过期,如果cookie已过期会自动删除,所以客户端请求的时候如果没有所属页面的cookie就代表,cookie已经失效,用户需要重新输入密码再次请求获取新的JWT。