Comprendo que los tokens están firmados por el servidor y cada vez que un cliente realiza una solicitud con el token, el servidor lo descifra para obtener la información del usuario.
Un par de problemas que veo acerca de llamar a este apátrida:
1) ¿Hay una clave privada para todos los usuarios? Si es diferente, mantendrá todas las claves privadas en lugar de la información de la sesión.
2) Una vez que el servidor descifra el token, digamos que el mensaje descifrado es un blob JSON con campos como id,username
en él. ¿Cómo sabrá el servidor si o no id, username
existe en su plataforma sin mantener eso en primer lugar?