JWT (JSON Web Token) содержит три части: header, payload и signature. Для валидации токена важна подпись (signature), которая создаётся с помощью секретного ключа или приватного ключа (в случае асимметричной криптографии).

Подпись позволяет проверить, что токен не был изменён после создания и что он действительно выпущен доверенным источником. При проверке сервер использует секрет или публичный ключ, чтобы подтвердить корректность подписи.

Таким образом, в JWT есть встроенный механизм проверки целостности и подлинности через цифровую подпись, что и позволяет валидировать токен без обращения к базе данных.

Что есть в JWT-токене, что позволяет его валидировать?