JSON Web Token
/rtfm/JSON Web Token
JWT
必ず alg をホワイトリストで管理する。
alg:none に書き換えられると署名の判定が行われなくなる。
【セキュリティ】JWTの署名を信頼していたら
alg: none
で管理者権限を奪取された話
https://qiita.com/fe1ix/items/0b1ec01a6a41de94efa5