- כשהמשתמש מבצע login, אני יוצר לו token (יש לכך ספרייה nuget שיוצרת את הtoken, ראה ב"הערות נוספות") ושומר אצלי בטבלת users-tokens, כמו"כ אני נותן למשתמש את הToken שיצרתי עבורו (מעביר לו את הtoken בheader שבresponse)
בדרך כלל אין ענין לשמור את הטוקן בשרת.
הטוקן מכיל את המידע על היוזר כשהוא חתום.
השרת יודע לפתוח את החתימה באמצעות מפתח ומוודא את תקינות המידע.
אם מישהו יתערב בטוקן באמצע הדרך וישנה את המידע, ההתאמה בין החלקים של ה-jwt תשבר והפענוח יכשל.
כך שמיותר לשמור את הטוקן.
חשוב לשים לב שה-jwt אינו מוצפן אלא חתום, ולכן לא שמים בו מידע רגיש כמו סיסמא.