Guias

Base64URL e JWT: decodificar não é confiar

JWT usa Base64URL. Saiba o que dá para ler e o que precisa de verificação.

Três partes URL-safe

Um JWT assinado geralmente tem header, payload e signature separados por pontos. O formato carrega claims em uma string compacta.

Dois caracteres mudam

Base64URL troca + por - e / por _. JWT também remove o padding = final.

Ler não valida

Você pode ler iss, sub, aud ou exp no payload. Isso não prova assinatura nem emissor. O servidor precisa verificar assinatura ou MAC.

Cuidado com alg

A aplicação define os algoritmos aceitos. Um alg inesperado deve falhar.

Debug claro

Separe por pontos, decodifique as duas primeiras partes como Base64URL, adicione padding se a ferramenta pedir e valide assinatura, emissor, audiência e tempo.

Fontes técnicas