Java - Auth0 JWT验证 - 这样做对吗？

我正在设置一个REST API，用Auth0作为认证服务。 一切都在工作，但在发生了一个相当奇怪的事件后，我的信心有点动摇。

我的实现是基于示例代码的 此处 (RS256部分)和 此处. 唯一的修改是，我把 PublicKey 到一个 RSAPublicKey.

问题是，我想确定验证会在错误的签名上失败。 我修改了签名的最后一个字符（我们就说是 "x"），令牌仍然可以验证。 但是 - 换成任何字符 以外 "x "或最初生成的字符导致它如预期般失败。

我怀疑这是由于某种paddingencodingdecodingBase64的问题，而我只是碰巧选择了一个具有相同前n位数的字符或其他什么？ 当然，这意味着，如果要成功地 "猜测"，就需要包括token剩余的40-kabillion字符--这是它存在的全部意义。 所以我并不担心令牌会被猜中--我只是想确保我正确地实现了验证的要点。

import com.auth0.jwk.Jwk;
import com.auth0.jwk.JwkException;
import com.auth0.jwk.JwkProvider;
import com.auth0.jwk.UrlJwkProvider;
import com.auth0.jwt.JWT;
import com.auth0.jwt.JWTVerifier;
import com.auth0.jwt.algorithms.Algorithm;
import com.auth0.jwt.exceptions.JWTVerificationException;
import com.auth0.jwt.interfaces.DecodedJWT;

import java.security.interfaces.RSAPublicKey;

public class Application {
    public static void main(String[] args) {

        try {
            JwkProvider provider = new UrlJwkProvider("<my-provider>");
            Jwk jwk = provider.get("<my-key-id>");

            String token = "<some-token-passed-from-client>";
            RSAPublicKey publicKey = (RSAPublicKey) jwk.getPublicKey();

            Algorithm algorithm = Algorithm.RSA256(publicKey, null);
            JWTVerifier verifier = JWT.require(algorithm)
                    .withIssuer("<my-issuer>")
                    .build();
            DecodedJWT jwt = verifier.verify(token);

        } catch (JWTVerificationException exception) {
            System.out.println("JWT Exception: " + exception.getMessage());
        } catch (JwkException e) {
            e.printStackTrace();
        }

    }
}