Где и каким образом происходит валидация JWT-токена?

JWT валидируется на каждом запросе, так как сервер не хранит состояние сессии.

Определение

Валидация JWT — это процесс проверки подписи, срока действия и содержимого токена перед допуском запроса к защищённым ресурсам.

Где происходит валидация

Перед перечислением важно понимать: JWT проверяется до попадания запроса в контроллер.

1) Фильтр безопасности

Основное место валидации — цепочка фильтров Spring Security.

1. Что делает фильтр

   • извлекает токен из заголовка

   • проверяет подпись

   • проверяет exp, iss, aud

2. Результат

   • либо запрос отклоняется

   • либо формируется Authentication

2) Контекст безопасности

1. При успешной проверке

   • создаётся SecurityContext

   • туда помещается пользователь

2. Далее

   • контроллеры получают уже аутентифицированный запрос

Что именно проверяется

1. Подпись токена

2. Срок действия

3. Формат токена

4. Необходимые claims

Краткий вывод

JWT валидируется в фильтре Spring Security на каждом запросе, что делает аутентификацию stateless и масштабируемой.