Как тестировать JWT токены?

JWT состоит из header.payload.signature (base64). Тестируем: 1) Истёкший токен (exp в payload) → 401. 2) Токен с невалидной подписью → 401. 3) Токен другого пользователя → 403. 4) Алгоритм none: {"alg":"none"} — сервер должен отказать. 5) Смена алгоритма RS256 → HS256 — атака. Payload не шифруется, только подписывается — не хранить sensitive данные. Проверяем: правильные claims (sub, iss, aud, exp). Инструменты: jwt.io для декодирования.