jwt토큰은 header, payload, verify signature 3부분으로 나뉜다 header와 payload는 인코딩 되어있고, verify signature는 header, payload와 secret key를 같이 해싱(단방향 암호화)한 값이다 그러므로 jwt토큰을 받은 서버는 먼저 header와 payload를 복호화한다. 그렇게 복호화 된 header와 payload를 secret key와 함께 해싱하여 verify signature와 같은지 비교하고, 같다면 유효한 토큰으로 간주하여 payload의 내용에 따라 유저를 처리한다 ( for 위조 방지, verify signature === hash(header + payload + secret key) )