Verificar assinatura
O que é JWT?
JWT (JSON Web Token, RFC 7519) é um padrão aberto para transmitir informações com segurança entre partes como um objeto JSON compacto. É comumente usado para autenticação e autorização.
Estrutura
Um JWT consiste em três partes codificadas em Base64URL separadas por pontos: Cabeçalho.Payload.Assinatura. O cabeçalho especifica o tipo de token e o algoritmo de assinatura. O payload contém as claims. A assinatura verifica a integridade.
Algoritmos suportados
HMAC (HS256/384/512), RSA (RS256/384/512), RSA-PSS (PS256/384/512) e ECDSA (ES256/384/512). O algoritmo não assinado `alg=none` é rejeitado por segurança.
Formatos de chave aceitos
HMAC: qualquer string UTF-8. Assimétrico: apenas PEM — PKCS8 (-----BEGIN PRIVATE KEY-----) para assinatura, SPKI (-----BEGIN PUBLIC KEY-----) para verificação. PKCS1, SEC1, PEM criptografado e certificados X.509 não são aceitos; a ferramenta informará o comando openssl exato para conversão.