Где и каким образом происходит валидация JWT-токена?

Question

Валидация JWT происходит на сервере при каждом запросе. Обычно это делается в фильтре Spring Security. Сервер проверяет подпись токена, срок действия и корректность claims. При успешной проверке создаётся объект аутентификации. После этого запрос передаётся дальше в контроллер.

YeaHub · Accepted Answer

JWT валидируется на каждом запросе, так как сервер не хранит состояние сессии.ОпределениеВалидация JWT — это процесс проверки подписи, срока действия и содержимого токена перед допуском запроса к защищённым ресурсам.Где происходит валидацияПеред перечислением важно понимать: JWT проверяется до попадания запроса в контроллер.1) Фильтр безопасностиОсновное место валидации — цепочка фильтров Spring Security.Что делает фильтризвлекает токен из заголовкапроверяет подписьпроверяет exp, iss, audРезультатлибо запрос отклоняетсялибо формируется Authentication2) Контекст безопасностиПри успешной проверкесоздаётся SecurityContextтуда помещается пользовательДалееконтроллеры получают уже аутентифицированный запросЧто именно проверяетсяПодпись токенаСрок действияФормат токенаНеобходимые claimsКраткий выводJWT валидируется в фильтре Spring Security на каждом запросе, что делает аутентификацию stateless и масштабируемой.