Aula 5: Autenticação moderna com tokens - O que é um JWT?

Описание: 4.2 JWT (JSON Web Token)
O Que É JWT?

Padrão aberto (RFC 7519)
Token auto-contido (contém informações do usuário)
Formato: header.payload.signature

Estrutura:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Parte 1: Header (algoritmo e tipo)
Parte 2: Payload (dados)
Parte 3: Signature (assinatura)

Como Funciona:
1. Servidor cria header e payload
2. Codifica ambos em Base64
3. Cria assinatura usando secret ou chave privada
4. Concatena: header.payload.signature
5. Retorna JWT para o cliente

Cliente envia JWT:
Authorization: Bearer eyJhbGc...

Servidor valida:
1. Decodifica header e payload
2. Recria assinatura usando secret
3. Compara com assinatura do token
4. Se igual → token válido
5. Verifica exp (expiração)

Vantagens:

✅ Stateless (sem estado no servidor)
✅ Escalável horizontalmente
✅ Funciona em qualquer plataforma (web, mobile, desktop)
✅ Contém informações do usuário (evita consultas ao banco)
✅ Pode ser usado entre serviços (microservices)

Desvantagens:

❌ Não pode ser invalidado antes da expiração
❌ Token pode ficar grande (muitas claims)
❌ Se vazar, válido até expirar
❌ Refresh tokens necessários para segurança