Referência

Claims registradas do JWT

O significado e o uso das claims padrão definidas na RFC 7519.

iss
Identifica a parte que emitiu o token, geralmente o nome ou a URL do servidor de autenticação. Ao verificar, confira se corresponde ao emissor esperado.
sub
Identifica o sujeito a que o token se refere (geralmente o usuário). Deve ser único no escopo do emissor.
aud
Indica os destinatários pretendidos do token. Um verificador deve confirmar que está incluído nesse público.
exp
O token não deve ser aceito após esta hora. Expresso como tempo Unix em segundos desde 1970-01-01.
nbf
O token não é válido antes desta hora (Not Before). Junto com exp forma uma janela de validade.
iat
A hora em que o token foi emitido. Útil para calcular a idade do token ou políticas de reemissão.
jti
Um identificador único do token. Usado para marcar tokens como usados, evitando reutilização ou ataques de repetição.
scope
No OAuth 2.0, guarda as permissões concedidas ao token separadas por espaços. Não é formalmente registrada, mas é muito usada.
Experimente decodificar um token você mesmoBasta colar e o cabeçalho, o payload e as claims se abrem na hora.
Abrir o decodificador