JWT 的正确工作流程是什么？

Question

我正在开发一个 API，我正在努力解决授权问题。我刚刚了解了 JSON Web Tokens 并且我理解了这个概念，但是我有一些问题。

1. 获得初始 JWT 后，每当我从客户端向服务器发出请求时，是否只需将其包含在标头中？
2. 从服务器响应客户端时是否也包含它？
3. 我是否必须在发送请求时更新过期时间（在任一方向）？

谢谢！

Answer 1

1. 如果您需要能够对请求进行身份验证，是的，您需要将 JWT 与请求一起发送。无需身份验证即可进行调用。
2. 不，您不需要在每个响应中都包含它。一旦浏览器分配了 JWT（登录时），您就可以将其存储在浏览器中（本地存储），直到它应该被调整或删除（例如注销）
3. 应设置过期时间，以便令牌在您需要的期间保持有效。就像 cookie 会话一样，设置了过期时间。过期时间戳使 JWT 在过期之前一直有效。