在Java Web专案中，若专案只有单一系统，则可以只使用HttpSession来验证用户。
具体的验证方式，就是服务器会产生一个sessionid，包装于HttpSession这个物件内，
接着服务器会将这个sessionid包装在cookie中，回传给浏览器。
这样浏览器就有了跟服务器那边相同的用户讯息，之后浏览器要传送该用户的讯息，
就将这个cookie包装于http请求中，交由服务器去验证用户讯息。
而在多系统专案中，则是使用JWT代替HttpSession。在跨系统中，
服务器会根据传送来的用户讯息，造出JWT。JWT本身包含了用户帐号(但不含用户密码)，
JWT被服务器传回浏览器，然后
这样这个JWT在浏览器中是和用户讯息一起被包在HTTP请求，送交给服务器。
看起来JWT跟sessionid非常类似，但是JWT与sessionid不同的地方是，JWT是有被加密的
具体加密的方式就是RSA算法。