Entendendo a anatomia do JWT
Um JSON Web Token é facilmente reconhecido pela sua estrutura de três partes, separadas por pontos (.): Header.Payload.Signature.
1. Header
Consiste tipicamente em duas partes: o tipo do token (JWT) e o algoritmo de assinatura em uso, como HMAC SHA256 ou RSA. Este JSON então é encodado em Base64Url.
2. Payload (Carga Útil)
Contém os Claims (declarações sobre uma entidade). Eles provêem os dados do usuário, tais como ID (sub), nome e, crucialmente, datas de emissão e tempo de expiração (exp). Nossa ferramenta desempacota o payload para que você desenvolvedor debugue por que a sessão do seu front-end (React/Next) está morrendo prematuramente, por exemplo.
Decodificar não significa violar
JWTs não são encriptados para ocultar os dados em trânsito. Eles são assinados na terceira parte (Signature) pelo backend que os gerou usando uma chave secreta. Qualquer pessoa (e nossa ferramenta) pode decodificar as duas primeiras partes para ler os dados livremente. Por isso, nunca passe senhas brutas ou tokens de cartão de crédito no Payload do JWT.