AG
JWT
DECODER
Decodificador
Algoritmos
Claims
Guias
Sobre
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Decodificador
/
Guias
/
Onde guardar um JWT: localStorage vs cookie
Guia
Onde guardar um JWT: localStorage vs cookie
Onde você guarda um JWT no navegador muda o seu risco de XSS e CSRF.
localStorage: fácil de usar, mas legível por JavaScript, então é vulnerável a XSS — um script injetado pode roubar o token.
Cookie HttpOnly: o JavaScript não consegue lê-lo, então resiste a XSS, mas é enviado automaticamente, exigindo defesa CSRF (SameSite / token CSRF).
Recomendado: guarde o refresh token em um cookie HttpOnly, Secure e SameSite, e o access token brevemente na memória (uma variável).
Onde quer que guarde, HTTPS é obrigatório; mantenha vidas curtas e nunca coloque dados sensíveis no payload.
Experimente decodificar um token você mesmo
Basta colar e o cabeçalho, o payload e as claims se abrem na hora.
Abrir o decodificador
Relacionados
O que é um JWT
Um JWT (JSON Web Token) é um pequeno formato de token JSON assinado para transmitir informações com segurança entre partes.
A estrutura de três partes do JWT
Todo JWT consiste em header.payload.signature, e cada parte é codificada em base64url.
Checklist de segurança do JWT
Uma breve lista dos princípios-chave para usar JWT com segurança.
JWT versus autenticação por sessão
A diferença entre autenticação por token (JWT) e por sessão de servidor (cookie), e quando usar cada uma.
Erros comuns de JWT e soluções
Os erros que você mais encontra ao trabalhar com JWT, com suas causas e soluções.
Tokens de acesso e tokens de atualização
O papel do token de acesso de vida curta e do token de atualização que o renova.
JWS versus JWE (assinado vs criptografado)
Um JWT geralmente é um JWS assinado; para ocultar o conteúdo usa-se um JWE criptografado. Esta é a diferença.
Claims personalizadas (públicas vs privadas)
Além das claims registradas (iss, exp, ...), os tipos que você mesmo define e como evitar colisões.
JWT no OAuth 2.0 e OpenID Connect
Como o JWT é usado no OAuth 2.0 e no OpenID Connect.