JSON Web Tokens — tokens compactos e assinados para autenticação. Quando são úteis e quando são sobrevalorizados.
Categoria · Segurança & Compliance
Um token assinado em texto claro.
Um JSON Web Token é um pacote de dados compacto e assinado: header, payload e assinatura, codificados em base64. A assinatura garante que o conteúdo não foi manipulado — mas não o cifra. Quem tem o token, pode ler o conteúdo.
Tipicamente, um JWT contém quem é o utilizador, quando o token expira e que direitos transporta. O servidor pode verificar isto sem consultar uma base de dados a cada pedido.
Quando são úteis.
Os JWTs mostram a sua força em sistemas distribuídos e sem estado — por exemplo, quando vários serviços têm de verificar a mesma identidade sem partilhar uma sessão comum. Em conjunto com OAuth/OIDC, são a norma como access tokens de curta duração.
Usamo-los onde o stateless é mesmo uma vantagem, e mantemos o tempo de vida curto.
Quando são sobrevalorizados.
O maior equívoco: um JWT emitido não se deixa revogar sem mais — até expirar, é válido. Para sessões clássicas com logout imediato, uma sessão do lado do servidor é muitas vezes a escolha mais honesta.
Quem escreve dados sensíveis no payload ou mantém tokens válidos durante meses, entendeu mal o formato.
