Más adelante, en la clase Firmando un JWT, vamos a ver mucho mejor (con un ejemplo práctico) cómo crear un JWT y cómo funciona su validación 👌.
Resumiendo un poco, toda la información que viaja en el token (lo que va adentro del header y del payload) es completamente visible para cualquier persona que acceda al token 😳😱 (podemos probar copiando y pegando uno en el debugger de https://jwt.io 😮). Cualquier usuario, bueno o malo, mortal o máquina, puede ver y “robar” la información delicada que se encuentre por ahí. El chiste de los tokens es que el servidor NO les permite realizar ninguna acción si cambian el contenido del token, es decir, aunque podemos “robar” la información del token, no podemos ejecutar ninguna acción del servidor a menos que tengamos las llaves secretas 😌.
Aún más resumido lo entienden en esta parte de la clase de más adelante (los últimos minutos): https://platzi.com/clases/1439-autenticacion-oauth/15812-firmando-un-jwt/?time=851.
¿Quieres ver más aportes, preguntas y respuestas de la comunidad? Crea una cuenta o inicia sesión.