1 artigo com esta tag
Um JWT é um 'passe' à prova de adulteração que um servidor emite assinando-o. Ele tem três partes — header.payload.signature — e o servidor verifica a assinatura para confirmar a autenticidade. Cuidado com: (1) sempre verifique a assinatura e fixe o alg esperado (rejeite alg:none); (2) qualquer pessoa pode ler o conteúdo, então não coloque segredos nele; (3) mantenha a expiração curta e tenha uma estratégia de revogação. Decodificar (ler) e verificar (checar autenticidade) são coisas diferentes.