1.为什么要把token存在Cookie里面,不存在Local Storge里面,因为一些黑客实现用户信息盗取通常是使用java script实现的,js可以读取Local Storge的信息,但是读取不到Cookie的信息,因为现在很多浏览器都会禁止js直接读取Cookie的信息。

    使用jwt,无法注销用户,这是个技术难题

    皇帝:数字签名:明文+私钥加密的明文。黑客是获取不到私钥的,即使加密了也没有用。

    将军:私钥加密,公钥解密,与明文能对应上,就验证通过

    整个过程是无状态的,是没有访问数据库的,本地校验