Если вы работаете с авторизацией, API, фронтендом или backend-сервисами, рано или поздно наступает тот момент, когда нужно перестать просто “таскать JWT токен по запросам” и наконец-то открыть его. Чтобы понять: — почему пользователь не может авторизоваться — почему внезапно начали прилетать 401 или 403 — не истёк ли срок жизни токена (exp) — кто именно зашит внутри: sub, email, id — какие роли и права реально передаются И вот тут начинается самое интересное. Куда вставлять токен? Чем его смотреть?...