我说下我目前对JWT理解是不是这样的：
前端所有页面除了登录界面都包括验证token的信息用ajax提交token在头部来做请求，
通过从后端获取访问数据
不通过从后端返回错误信息
我这里想问的是web路由是前端做还是后端做好？

然后说后端，后端接受到前端提交的用户账号密码
验证通过返回token
验证不通过返回错误信息
这里我想问的是spring-security在JWT需不需要？
需不需要把token放在token里？（我觉得小项目不需要）

关于token刷新问题
前端获取token后放在localstrong比较好？因为我它关闭浏览器会清空数据
每次点击页面也就是每次请求后端都要重新生成新的token返回给前端，前端要做相应的覆盖。
是不是不太要要不要做在小于2分钟才生成新的token

还有个小白问题想问下，刚接触JWT对JWT的API不熟悉，JWT在安全方面这样？
JWT在前端能被解析吗？我说的是解析到我增加的信息？用setClaims方法增加的内容！
我查了下，好像大家都是直接获取和提交token并没有说到前端解析这一块。说下用什么方式和库能解析！·

最后还是想问下目前主流验证是什么？提供体系就好，我自己去查。