Se dice que los tokens web JSON (JWT) no tienen estado porque el servidor de autorización no necesita mantener ningún estado; el token en sí es todo lo que se necesita para verificar la autorización del titular del token.
Los JWT se firman con un algoritmo de firma digital (como RSA) y no se pueden falsificar. Por lo tanto, cualquier persona que confíe en el certificado del firmante puede confiar en que el JWT es auténtico. El servidor no necesita consultar al servidor emisor del token para confirmar su autenticidad.
Tenga en cuenta que en este diagrama, el servidor de recursos no necesita verificar con el servidor de autorización :
