1 artículo con esta etiqueta
Un JWT es un 'pase' a prueba de manipulación que un servidor emite firmándolo. Tiene tres partes —encabezado.carga útil.firma— y el servidor verifica la firma para confirmar su autenticidad. Cuidado con: (1) verifica siempre la firma y fija el alg esperado (rechaza alg:none); (2) cualquiera puede leer el contenido, así que no pongas secretos en él; (3) mantén la expiración corta y ten una estrategia de revocación. Decodificar (leer) y verificar (comprobar la autenticidad) son cosas distintas.