Я пытаюсь понять, как аутентификация JWT не имеет состояния.В аутентификации с сохранением состояния будет идентификатор сеанса.Здесь есть токен JWT, который подписан.Таким образом, сервер аутентификации выдает токен JWT, но я могу сказать, что проверка токена JWT в последующих запросах выполняется сервером конечной точки (сервером приложений), а не сервером аутентификации.Я полагаю, что это возможно, поскольку JWT подписан с датой истечения срока действия (а также некоторой другой информацией), и общедоступный сертификат сервера аутентификации доступен для всех серверов конечных точек.
Таким образом, сервер аутентификации будет отвечать только за выдачутокены и не валидация.Проверка будет выполняться сервером конечной точки.
Правильно ли мое понимание?Это как JWT делается без гражданства?В противном случае, я не вижу, чем она отличается от аутентификации с контролем состояния, поскольку обе могут быть реализованы с использованием токенов.
При аутентификации с учетом состояния централизованный сервер будет отвечать за выдачу токенов, а также проверку каждого запроса.