< сижу смотрю разборы тех.собесов
< рассказывают, что в JWT достаточно передавать айди юзера, чтобы понимать, какой, собственно, юзер к нам обращается
< в своё время, когда я пилил смену пароля и подтверждение почты, старший коллека надоумил меня, что данные в токе должны быть в принципе нечитаемы
< поэтому там есть шифрование айди в base32, что по факту оверкил и занимает процессорное время
< вот сейчас думаю, типа нахуя я это сделал, лол
Нахуя в base32 кодировать, если токен уже в base64? Что ты этим ЗАШИФРУЕШЬ? От кого? ЗАЧЕМ?
На самом деле я вот не помню, но вроде в jwt еще прикольно скоупы хранить и все такое. Потому что да, это ТИПА только айдишник, но на практике заебывает бегать в базу и узнавать каждый раз А КТО ЭТО ТАКОЙ. Один хуй токен подписан и не наебешь систему.
Но тут не берусь утверждать, я не бекендер.
