Полагаю, вы могли бы сказать, что некоторая часть токена хранится в базе данных.
Возвращен токен JWT (веб-токен JSON). В нем закодирована информация о токене, как и время его истечения, алгоритм, используемый для его хеширования, области действия токена и его идентификатор (в полезной нагрузке он называется jti). Этот идентификатор хранится в таблице oauth_access_tokens.
В этом методе в классе \Laravel\Passport\PersonalAccessTokenFactory::findAccessToken вы можете увидеть, как Laravel проверяет наличие токена в базе данных:
/**
* Get the access token instance for the parsed response.
*
* @param array $response
* @return Token
*/
protected function findAccessToken(array $response)
{
return $this->tokens->find(
$this->jwt->parse($response['access_token'])->getClaim('jti')
);
}
Если вы получите действительный токен и вставите его в этого онлайн-инструмента , вы увидите его структуру. Вот как это выглядит:
Теперь, зная ожидаемый формат полезной нагрузки, если вы немного поэкспериментируете с этой информацией и данными, которые у вас есть в oauth_access_tokens (идентификатор, область действия, дата создания и срок действия), вы сможете создать действительный маркер.