问试图理解jwt身份验证流

EN

1. 不，这不是检查令牌过期的客户端，这是服务器端操作。当然，不，这不是客户端应用程序，它检查过期时间，计算分钟数。是的，客户端发送令牌并获得可能的“令牌过期”响应。
2. 就像这样简单，如果令牌是有效的，你就可以走了。如果没有(过期的，动摇的)你没有。到期日期在令牌有效负载本身中。您应该对服务器和客户端之间的传输进行加密。
3. 服务器验证刷新令牌的方式与验证任何令牌的方式相同。通常在用户数据库上对登录/密码进行验证以检查授权。这只是一个更新jwt令牌的工具。

总之，jwt身份验证流比这更简单：

1. 客户端发送带有身份验证的请求。
2. 服务器使用认证令牌进行响应。
3. 客户端使用该令牌与应用程序进行对话。
4. 如果jwt令牌过期，客户端将发送一个刷新令牌来更新它(可选)

JSON令牌由三个部分组成，即头、有效载荷和签名。报头和有效载荷不是加密的，而是编码的(base64)，这意味着客户端可以简单地解码这些部分。

因此，要回答您的第一个问题，->，客户端只需对有效负载部分进行解码，并从已登记的债权读取exp属性。如果使用的是节点-jsonwebtoken库，则如下所示：

// get the decoded payload and header
var decoded = jwt.decode(token, {complete: true});
console.log(decoded.header);
console.log(decoded.payload)

为了让服务器验证令牌，您必须从用于签名JWT的密钥对中提供密钥或公钥。使用节点-jsonwebtoken，它将按照以下方式工作：

// verify a token asymmetric
const cert = fs.readFileSync('public.pem');  // get public key
jwt.verify(token, cert, function(err, decoded) {
  console.log(decoded.foo) // bar
});

OR

// verify a token symmetric using secret
const decoded = jwt.verify(token, 'mySecret');