Fiquei com essa dúvida pois na implementação há essa brexa, nada garante que quem está fazendo a requisição é de fato o proprietário do token, vi outros posts e que responderam que através do token poderia pegar a identificação do usuário, fazer uma query no banco e verificar se ele é o dono de fato mas como vou saber quem está enviando a requisição se no meu doFilterInternal só tenho o header da requisição, não tenho o corpo? Teria que em cada controller dar um jeito de recuperar o token, pegar o id do proprietário, checar o DTO de requisição qual usuário está fazendo e ai sim fazer essa comparação? PQ se tiver que fazer isso em cada controller o framework perde um pouco do sentido para mim, eu ja fiz um sisteminha de autenticação e o maior defeito dele era ter que chamar em todo controller que utilizava mas ele garantia a autenticidade do token e se quem enviou a requisição é mesmo o proprietário do token, dessa forma ficou meio incompleto com uma grande brexa de segurança.
