откройте свой php.ini, убедитесь, что он установлен:
display_errors = On
перезагружает ваш сервер.
JWT подписывает полезную нагрузку с помощью секретного ключа, а не зашифровывает его. Подпись не является неотъемлемой защитой, поскольку, учитывая ввод, она всегда возвращает тот же результат (т. Е. Начинает появляться шаблон для сигнатуры). Для максимальной безопасности вы хотите выбрать шифрование с использованием AES-256 (или выше) для полезной нагрузки.
Также в этом случае заголовок авторизации всегда будет таким же, поскольку вы отправляете одну и ту же полезную нагрузку, закодированную одним и тем же ключом, то есть я могу поразить сервер 2 с моего собственного сайта тем же заголовком и получить назад пользователь и токен. Это зависит от того, насколько чувствителен сервис 2, если он открыт для всех, чтобы создавать пользователей, тогда это не имеет большого значения. В противном случае это может быть большой проблемой безопасности.
Как два сервера отключены? Если служба 2 имеет ограниченное количество других сервисов для взаимодействия, и она знает, что они собой представляют, вы можете использовать заголовок CORS, чтобы гарантировать, что только услуга 1 может получать запросы от службы 2.