No segundo cenário proposto, entendo que o JWT perde o sentido da proposta de... · nathsouza

Em resposta a

No segundo cenário proposto, entendo que o JWT perde o sentido da proposta dele. Isso não significa que vc não pode transportar outros dados, mas um post não é um dado que precisa ser protegido dessa forma, dentro do contexto apresentado.

Pensando no desempenho da aplicação, no back haveria um processo a mais para encriptar esse post em um JWT e seria necessário um processo a mais no front para decodificar esse post. Um trabalho, que entendo com desnecessário.

Aliás, o JWT dependendo do contexto pode transportar senhas também. Imagina no momento da criação de um usário, idealmente vc não transporta essa senha em um texto plano. Como sempre, vai de acordo com a necessidade e o contexto apresentado no momento.

Conteúdo excluído

tteodoro

3 anos atrás

Olha eu diria que o JWT é um meio de garantir que o usuário que emite e consume o mesmo é o desejado (Usuário autenticado) e por meio das ferramentas do JWT garantir que esse parte de uma fonte confiável, quanto tempo ele tem acesso entre outros.
Reforçando, em um caso de uso para Autenticação via JWT é necessário checar o Alg de assinautra bem como também se o mesmo não está espirado e se sua chave é capaz de assinar/desassinar o JWT em si garantindo sua fonte.