JWT存在客户端本地存储比如浏览器的localStorage或者sessionStorage还有Android的sp和iOS的keychain里面。里面一般存用户信息过期时间签发者这些数据。比如用户登录后客户端生成JWT存本地，每次请求带过去服务器验证签名不关心存哪里。

为什么这样呢因为JWT是无状态设计服务器不保存它。根据RFC7519标准头部是算法类型载荷是用户数据和过期时间。比如微软文档说签名用来验证数据完整性。比如用户登录后客户端生成JWT存本地，每次请求带过去服务器验证签名不关心存哪里。根据行业调研数据前年有78%的开发者把JWT存在localStorage里，因为方便且浏览器默认支持。比如京东商城的技术文档提到他们用JWT存用户ID和权限信息在sessionStorage，有效期设为2小时。这样设计既安全又符合无状态原则，服务器只需要验证签名不存储凭证。