JWT

JWT (JSON Web Token) é um formato de token compacto e seguro para URL para transmitir claims de forma segura entre partes. Consiste em três partes: header, payload e signature.

O JWT padrão (JWS) é assinado mas não criptografado - o payload é codificado em Base64 e legível. Para criptografia, use JWE. Nunca armazene dados sensíveis em JWT padrão.

HS256 usa chave simétrica (mesmo segredo para assinar e verificar). RS256 usa chaves assimétricas (chave privada assina, pública verifica). RS256 é melhor para sistemas distribuídos.