1 статья с этим тегом
JWT — это защищённый от подделки «пропуск», который сервер выдаёт, подписывая его. Он состоит из трёх частей — header.payload.signature — и сервер проверяет подпись, чтобы подтвердить подлинность. Остерегайтесь: (1) всегда проверяйте подпись и фиксируйте ожидаемый alg (отклоняйте alg:none); (2) содержимое может прочитать кто угодно, поэтому не кладите туда секреты; (3) держите короткий срок действия и имейте стратегию отзыва. Декодирование (чтение) и проверка (подтверждение подлинности) — разные вещи.