Basicamente é composto por: {Header}.{Payload}.{Assinatura}

Agora, se puder dar mais contexto sobre qual o motivo que chegou nesse assunto de implementar o JWT, quem sabe poderiamos te dar um norte melhor pra encontrar realmente uma saída eficiente.

A maioria implementa JWT onde não é necessário e em muitos casos autenticação por cookies é o suficiente com HttpOnly e SameSite pra ter uma segurança a mais.

charlesandersonwdhá 10 meses

Um dos pontos relevantes é a variedade de bibliotecas, que me permitirá ler o token na aplicação principal e em microserviços escritos em outras linguagens.

para determinadas situações, ia precisar gerar uma autorização, persistir no banco de dados e o microserviço precisaria consultar o db antes de processar. Com o JWT, eu já consigo validar e dar seguimento ao processamento, sem etapas anteriores.

Outro ponto também é o interesse de eliminar o uso de sessão, para escalar a aplicação com balanceador de carga, funções como serviço etc.

ownerczxhá 10 meses
E como você tá fazendo essa autenticação hoje?
charlesandersonwdhá 10 meses
o token gerado guarda o user_id, o time em que foi gerado e um chave (gerada aleatoriamente e o rash dela é persistido no servidor). todas estas informações são validadas para confirmar a autenticação do usuário.