Só uma curiosidade rápida sobre JWT antigamente havia uma vulnerabilidade famosa do alg: "none". Antigamente, algumas libs aceitavam tokens sem assinatura se alguém trocasse o algoritmo pra "none" ou enganavam o backend trocando RS256 por HS256. Hoje as libs modernas geralmente bloqueiam isso, e é recomendado que você configure explicitamente quais algoritmos vc quer aceitar.

Ou seja: se o dev não define o algorithms: ["RS256"] (ou o que for), a biblioteca tenta adivinhar… e adivinha quem ama quando a biblioteca tenta adivinha: o atacante.

e sobre o alg: "none" essa vulnerabilidade ainda deve está ativas em sistemas legados que nunca fizeram upgrade das libs.