JWT（JSON Web Token）令牌校验是验证JWT令牌的有效性和真实性的过程。JWT是一种用于在网络应用间安全传递信息的开放标准（RFC 7519），它由三部分组成：头部（header）、载荷（payload）、签名（signature）。

JWT令牌校验通常包括以下步骤：

1. 解析令牌：首先，需要将JWT令牌解析成可读的数据结构，以便进一步处理。JWT令牌通常以点（.）分隔成三个部分：头部、载荷和签名。这些部分使用Base64编码进行编码，但不加密。

2. 验证头部：在解析令牌后，通常会验证JWT头部是否包含所需的算法类型和其他元数据。头部中包含了指定签名算法的信息，例如HMAC、RSA等。

3. 验证签名：JWT的签名用于验证令牌的真实性和完整性。签名是由使用私钥的发送方生成的，然后由接收方使用公钥验证。如果签名验证失败，说明令牌可能被篡改或伪造，校验失败。

4. 可选：检查过期时间（exp）：JWT通常包含一个过期时间字段（exp），指定了令牌的有效期。在校验时，可以检查该字段，确保令牌在指定时间内有效。

5. 可选：检查令牌用途：JWT通常还包含用途字段（如"aud"字段），用于指定令牌的使用对象。在校验时，可以检查令牌的用途是否符合预期，以确保令牌仅被用于预期的场景。

6. 其他定制化校验：根据应用程序的具体需求，还可以进行其他定制化的校验，如黑名单检查、白名单检查等。

假设有一个Web应用程序，它使用JWT来管理用户的身份验证和授权，并且存储了员工信息。下面是一个简化的示例，说明如何使用JWT完成对员工信息的校验：

1. 用户登录：当用户通过用户名和密码登录时，服务器验证用户的身份，并生成JWT作为身份验证令牌。

2. 生成JWT：在验证用户身份后，服务器生成一个JWT令牌，其中包含用户的身份信息，比如用户ID、角色等，以及所需的有效期和其他元数据。在生成JWT时，服务器使用私钥对令牌进行签名。

3. 返回JWT给客户端：服务器将生成的JWT令牌发送回客户端，通常存储在客户端的本地存储或者浏览器的Cookie中。

4. 请求员工信息：当用户在应用程序中请求员工信息时，客户端将JWT令牌包含在请求的头部中（通常是Authorization头）。

5. 校验JWT令牌：服务器接收到请求后，首先解析JWT令牌，验证其签名和其他元数据，确保令牌的真实性和有效性。

6. 提取用户信息：一旦JWT令牌通过了校验，服务器可以提取令牌中包含的用户信息，比如用户ID。

7. 查询员工信息：服务器使用提取出的用户ID来查询员工信息的数据库，以确保用户有权访问所请求的员工信息。

8. 返回员工信息：如果用户有权访问员工信息，则服务器返回相应的员工信息给客户端；否则，返回相应的错误或拒绝访问的响应。

JWT每次登录都要重新生成吗？

通常情况下，员工每次登录时并不会生成一个全新的JWT令牌。JWT令牌具有一定的有效期，一旦生成后，在有效期内可以重复使用。在有效期内，客户端可以持续使用同一个JWT令牌来进行身份验证和授权。

当JWT令牌即将过期时，通常采取以下一种或多种方式处理：

1. 刷新令牌：在JWT令牌的有效期快要结束时，客户端可以使用刷新令牌（Refresh Token）来获取新的JWT令牌。刷新令牌通常具有更长的有效期，用于获取新的访问令牌。客户端可以在当前JWT令牌即将过期时，使用刷新令牌来获取新的JWT令牌，从而保持用户登录状态的连续性。

2. 重新登录：如果JWT令牌过期且刷新令牌也失效，客户端可能需要提示用户重新登录，以获取新的JWT令牌。在重新登录时，服务器会重新生成一个新的JWT令牌，并发送给客户端。

3. 自动刷新：在某些情况下，客户端可以与服务器协商，当JWT令牌即将过期时，自动进行令牌刷新操作，以保持用户登录状态的持续性。这通常需要一些额外的机制来实现，例如定期检查JWT令牌的有效期，并在需要时自动请求刷新令牌。