Всем привет! Помогите пожалуйста понять jwt авторизацию.
И так, я пытаюсь написать серверное API на express + mongo. Сейчас пытаюсь сделать jwt авторизацию. Для этого использую либку jsonwebtoken. С ее помощью, создаю токен и отправляю на клиент. Потом с клиента отправляю запрос к защищенным данным с созданным токеном в теле и с помощью функции verify ee декодирую(при помощи секретного ключа). Все было ок, до того момента как я узнал о ф-ции decode, которая почему то может декодировать его и без ключа. Более того зайдя на
https://jwt.io/ я так же смог легко декодировать токен в их конструкторе.
Отсюда вопрос: нафига нужен токен, который может декодировать любой, кто его знает? И как его нужно использовать правильно? Буду очень благодарен за ответ
