了解JWT auth的工作原理

我试图了解jwt的身份验证是如何工作的&我有一些基本的问题

1） 用户是否在每个请求中同时发送accessToken和refreshToken

2） 如果是，它如何发送refreshToken（我知道accessToken在http头中）

---

3） 服务器必须首先验证accessToken（带有签名），然后检查过期时间是否已过。对吗

据我所知，访问与刷新令牌在JWT中不是一个概念（但在OAuth中，它使用类似的令牌）。相反，JWT只是一个框架，它允许用户向权威机构展示其凭证，但不允许用户自己以某种方式修改该令牌

对于问题的第二和第三部分，通常会在标题中传递JWT。一旦收到，拥有密钥的服务器可以解密令牌并检查该令牌的任何声明，包括过期日期。但请注意，仅检查过期日期可能不足以授予用户访问权限。例如，您可能已挂起某个用户的帐户，但他仍将携带JWT。因此，为了解决这个问题，除了检查JWT本身的声明之外，您可能还必须访问您的用户数据库