Lição 3

Decodificar vs verificar

Por que ler JSON de JWT não é o mesmo que confiar no token.

Decodificar um JWT é converter texto Base64URL de volta em JSON. Verificar um JWT é provar que o token é aceitável para sua aplicação.

Decodificar responde perguntas de legibilidade

Decodificar ajuda a responder:

  • Qual algoritmo o header declara?
  • Qual usuário ou serviço está em sub?
  • exp já passou?
  • Quais escopos ou papéis estão presentes?

Isso é útil para depuração, mas não é decisão de segurança.

Verificar responde perguntas de confiança

A verificação checa:

  • A assinatura bate com segredo ou chave pública confiável.
  • O algoritmo é um que sua aplicação permite.
  • iss é emissor confiável.
  • aud corresponde ao seu serviço.
  • exp, nbf e regras de skew de relógio são satisfeitas.

Se alguma checagem falta, o token pode parecer válido após decodificar e ainda ser inseguro.

Regra prática

Use um decodificador para inspecionar. Use biblioteca de autenticação, provedor de identidade ou middleware de backend para verificar.

Voltar à visão geral do curso