во-первых, давайте разберемся, что делает токен пригодным для использования в качестве агента аутентификации без сохранения состояния.в основном JWT - это просто объект json, состоящий из 3 частей
- заголовок
- полезная нагрузка
- подпись
Метод подписи - sha256 (base64)(заголовок) + base64 (полезная нагрузка) + "секретное сообщение").
«секретное сообщение» определяет, насколько силен токен.Сервер проверяет действительность токена, который этот секретный ключ.
Теперь, если вы хотите проверить токен на стороне клиента, вам определенно нужен этот секретный ключ.ДЕЛАЯ ЭТО, БУДЕТ ПОВРЕЖДАТЬ БЕЗОПАСНОСТЬ :)
Надеюсь, я смог пролить некоторый свет на то, почему мы не должны проверять токен на стороне клиента.Оставим проверку на сервере.