一、JWT基于token的认证流程：

二、JWT SDK的选取：

https://jwt.io/

三、编写JWT Helper：

1、获取token

设置密钥，规定算法，设置过期时间，设置发行方，生命参数calims（比如name，email可以唯一选定用户）

2、校验token

3.使用reids管理用户登陆状态，强制销毁JWT：

jwt的缺点之一就是无法对未过期的令牌做销毁，需要使用redis，设置该用户的过期时间，jwt过期时间>redis过期时间，并以jwt过期时间为基准。

在getToken时，设置redis key，在用jwt换取用户信息时，先校验jwt，然后校验redis过期时间，要么更新redis的过期时间，要么抛登陆异常。