La mia comprensione è che i token sono firmati dal server e ogni volta che un client effettua una richiesta con il token, il server la decrittografa per ottenere le informazioni dell'utente.
Un paio di problemi che vedo sulla chiamata di questo apolide:
1) Esiste una chiave privata per tutti gli utenti? Se è diverso, stai mantenendo tutte le chiavi private invece delle informazioni sulla sessione.
2) Una volta che il server decrittografa il token, diciamo che il messaggio decrittografato è un blob JSON con campi come id,username
su di esso. Come farà il server a sapere se id, username
esiste sulla sua piattaforma senza mantenerlo in primo luogo?