В Spring Security при использовании JWT-токенов сервер проверяет подпись токена, чтобы убедиться, что он был выдан доверенным центром аутентификации и не был изменён.

Если хакер подменит токен на чужой, но подпись не совпадёт, сервер отклонит запрос — перехватить и использовать чужой токен без приватного ключа невозможно.

Если же хакер изменит payload токена (например, поменяет роль или идентификатор пользователя), подпись станет недействительной, и сервер также отклонит такой токен.

Таким образом, безопасность JWT основана на криптографической подписи. Без правильной подписи сервер не примет токен, даже если payload изменён.

Важно, чтобы сервер всегда проверял подпись и срок действия токена, а также использовал надёжные секреты или ключи для подписи.

Опыт с Spring Security. JWT-токен: перехватит ли сервер запрос с чужим токеном? Что если хакер изменит payload токена?