Tutorial
8 min de leitura
Entendendo JSON Web Tokens: guia para desenvolvedores
Um JWT é um formato compacto de token para transportar claims entre dois sistemas. É amplamente utilizado em fluxos de autenticação e autorização em aplicações web modernas.
Estrutura de um JWT
Um JWT é composto por três partes separadas por pontos: header.payload.signature. Cada parte é JSON codificado em Base64URL.
- Header — tipo do token e algoritmo de assinatura
- Payload — claims registradas, públicas e privadas
- Signature — verifica que o token não foi alterado
Considerações de segurança
- Não coloque dados sensíveis no payload — JWT é codificação, não criptografia
- Não pule a validação da assinatura
- Use tempos de expiração curtos
- Use chaves de assinatura suficientemente fortes
Inspeção segura
Para inspecionar tokens, prefira uma ferramenta que funcione no navegador. Decodificadores server-side podem registrar tokens de produção nos logs.