Как проверять JWT в middleware?

Парсишь токен библиотекой golang-jwt/jwt: token, err := jwt.Parse(tokenString, keyFunc). keyFunc возвращает секрет для проверки подписи. Проверяешь: err == nil, token.Valid == true. Достаёшь claims: claims := token.Claims.(jwt.MapClaims). Проверяешь exp (не истёк), iss (правильный issuer). Кладёшь user_id из claims в context. Не забудь проверить алгоритм подписи — атака "alg: none" подменяет алгоритм. Используй jwt.WithValidMethods([]string{"HS256"}).