Солнцеестояние, наверное. Когда сервер просто получает payload и обрабатывает его. А на сигнатуру и прочее ему похуй.
Возраст целевой аудитории форума 13 лет, что вы ожидаете услышать? The post was merged to previous Apr 3, 2024 JWT состоит из трёх частей, разделённых точками. Первая часть - заголовок, вторая - полезная нагрузка (payload), третья часть - подпись. Подпись представляет из себя шифрованный по ключу хэш от первых двух частей. При выдаче токена сервер генерирует заголовок и полезную нагрузку, записывает их в JSON и кодирует в модифицированный BASE64. Получается две строки. Эти строки объединяются через точку и от полученной общей строки вычисляется подпись. Конкретный алгоритм вычисления указан в заголовке. Далее подпись через точку присоединяется к строке и получается полный токен. При получении запроса с токеном сервер разделяет токен на части, распаковывает заголовок и находит алгоритм подписи. Затем он вычисляет контрольную подпись от первых двух частей токена и сравнивает её с полученной в токене. Если они совпадают, то токен признаётся правильным. При использовании симметричного алгоритма один и тот же ключ знают как сервер, выдающий токен, так и сервер, проверяющий его. Асимметричное шифрование позволяет выдавать токен на одном сервере по закрытому ключу, а проверять на другом сервере по парному открытому ключу. The post was merged to previous Apr 3, 2024 https://qna.habr.com/q/841331 ( не реклама )
легко - тебе всего лишь нужно проникнуть в их инфраструктуру, залезть в хранилище секретов и спиздить приватный ключ, а в остальном - никак)