JWT explicado: estrutura, segurança e erros comuns

O JWT simplifica a autenticação sem estado, mas também facilita a distribuição de credenciais difíceis de revogar. A disciplina de validação importa mais do que a conveniência.

As três partes

Um JWT tem header, payload e signature. O payload não é criptografado por padrão, portanto não deve conter segredos nem informações sensíveis.

O que você deve sempre validar

• Algoritmos permitidos de forma explícita
• exp, iss e aud
• Tokens de acesso de curta duração
• Refresh tokens separados quando necessário

Revogação e operação

Como um JWT já emitido é difícil de retirar, convém combinar TTL curto, rotação de chaves e, quando necessário, listas de revogação.

Dica prática

Inspecione tokens com ferramentas locais como o JWT Inspector. Enviar tokens reais para decodificadores externos é uma má prática operacional.