JWT:就是靠给客户端(浏览器)一个规范凭证(签名),然后服务器解析签名,代替原有的session存值。
不带refreshToken的JWT例子:https://blog.csdn.net/u011277123/article/details/78918390
refreshToken是保存在服务器上的,可以暴露或不暴露(服务器到服务器之间传输)给用户,refreshToken的过期时间比较长,
当用户的accessToken过期后,可以用refreshToken换取新的accessToken,用户无察觉,直到refreshToken过期。
具体需要参考OAuth2.0