用户访问需要验证身份的资源的时候，要提供我们签发给他的 token .. 拿到 token 以后我们要验证一下，看看这个 token 是不是我们自己验发的，如果验证通过，可以再根据 token 里的内容，来决定是不是要把用户访问的资源响应给他 ...

之前我们用 sign 方法签发了一个 token ， 现在我们再用 verify 这个方法，可以验证一下这个 token ... 先把要验证的 token 告诉这个方法，然后再把签发 token 的时候用的密钥也告诉它 ...

这个方法有个回调 ... 里面有两个参数，error 表示错误，decoded 是解码之后的东西 .. 也就是 token 里面包含的具体的数据 ..

先判断一下，如果有 error ，就在控制台上输出 error 里的 message ... 再 return 一下 ..

没有的话，就表示验证成功，这样 decoded 里面就是 token 里的内容，我们可以再把它输出到控制台上看一下 ..

回到命令行 ... 执行一下 node index.js ..

这里会输出解码之后的 token 里的内容 ... 这里除了我们签发 token 的时候放进去的 name 还有 admin ，这里还有一个 iat ，这个 claim 是 issued at ，表示签发这个 token 的时候的时间 ..

如果有不怀好意的用户想要篡改我们签发的 token ... 只要他不知道我们签发 token 的时候用的密钥，他就没有办法伪造我们的 token ..

可以试一下 ... 比如在验证的时候，修改一下使用的 secret ..

回到命令行，再执行一下 node index.js ..

这次会提示 invalid signature ... 无效的签名 ...

我们可以再把验证用的密钥修改成原来的 secret ...