Стандартный токен аутентификации обычно представляет собой случайную строку, которая сервер генерирует и хранит на своей стороне (например, в базе данных или в памяти). Клиент отправляет этот токен с каждым запросом, а сервер проверяет его валидность, сопоставляя с сохранёнными данными. Такой подход требует хранения состояния на сервере.

JSON Web Token (JWT) — это самодостаточный токен, который содержит закодированную информацию (payload), например, данные пользователя и время истечения срока действия. JWT подписывается с помощью секретного ключа или пары ключей, что позволяет серверу проверять подлинность токена без необходимости хранить его состояние. JWT обычно состоит из трёх частей: header, payload и signature, разделённых точками.

Основные отличия:

Хранение состояния: стандартный токен требует хранения на сервере, JWT — нет (stateless).
Содержимое: JWT содержит полезную нагрузку с информацией, стандартный токен — просто идентификатор.
Проверка: JWT проверяется по подписи, стандартный — по наличию в базе.

Пример JWT:

{
  "alg": "HS256",
  "typ": "JWT"
}
.
{
  "sub": "1234567890",
  "name": "Иван Иванов",
  "iat": 1516239022
}
.
<signature>

Что отличает стандартный токен аутентификации от JSON Web Token (JWT)?