Василий Банников

Нужную вам проверку можно реализовать зная только дату выдачи токена.
Если дата выдачи токена меньше, чем дата изменения пароля - тогда считаем токен отозванным.
+ Не всегда следует при смене пароля отзывать все токены.

Для проверки можно передать целиком весь токен в сервис аутентификации.

Тебе нужно свойство Subject - это как раз уникальный идентификатор в рамках гугла.

Документация:
https://developers.google.com/identity/protocols/o...

Исходники:
https://github.com/googleapis/google-api-dotnet-cl...

Ну вообще jwt в принципе лучше вообще для работы с браузером не использовать.
А так MDN, я так думаю, имел в виду данные приложения и какие-то совсем критичные данные, типа номеров карт и паролей, которые лучше вообще не хранить.
Например если ты делаешь корзину в интернет-магазине, то раньше вполне логично было бы использовать куки, а сегодня вместо этого лучше взять localstorage.

+ Куки не удобны для back-back взаимодействия

Так что если хочешь использовать jwt - лучше используй заголовок Authorization

К токену прикреплена зашифрованная хэш-сумма, которую формирует сервер.
Если изменить payload - изменится хэш-сумма и сервер это увидит, тк она не будет совпадать с подписью.

Отерытый payload нужен для двух вещей:
1. Чтобы клиент мог получить всякую информацию о токене не делая запросы к серверу.
2. Чтобы сервер мог работать не делая лишние запросы к серверу авторизации или к БД.

Для проверки подлинности есть подпись