Base64URL e JWT: decodificar não é confiar
JWT usa Base64URL. Saiba o que dá para ler e o que precisa de verificação.
Três partes URL-safe
Um JWT assinado geralmente tem header, payload e signature separados por pontos. O formato carrega claims em uma string compacta.
Dois caracteres mudam
Base64URL troca + por - e / por _. JWT também remove o padding = final.
Ler não valida
Você pode ler iss, sub, aud ou exp no payload. Isso não prova assinatura nem emissor. O servidor precisa verificar assinatura ou MAC.
Cuidado com alg
A aplicação define os algoritmos aceitos. Um alg inesperado deve falhar.
Debug claro
Separe por pontos, decodifique as duas primeiras partes como Base64URL, adicione padding se a ferramenta pedir e valide assinatura, emissor, audiência e tempo.