Executando verificação de segurança...
2

parece que pelo JWT a gente não precisaria ter a persistência das informações de autênticação,

Correto, mas isso não é exclusivo do JWT. Os fluxos do OAuth (há vários) já têm isso em mente.

que após a descriptografia nos diz o id do usuário, a data de expiração.

Essa é uma das principais vantagens do JWT: não é necessário fazer uma requisição extra para validar o token. Em outros fluxos do OAuth, temos que ir ao servidor de "identidade" para validar o token antes de autorizar.

Carregando publicação patrocinada...
1

E da para usar sem ter um pé atrás?

porque o que estou pensando aqui é de, ao inves de guardar somente o id do usuário no payloader, guardar também uma chave, cujo rash vou armazenar no servidor, para ganhar mais uma camada de proteção.

para mim assuta a ideia de não precisar dessa segunda camada...
rsrs

3

E da para usar sem ter um pé atrás?

Sim, se você utilizar o JWT com "signed tokens", pois o sistema garante a integridade do seu JWT.

porque o que estou pensando aqui é de, ao inves de guardar somente o id do usuário no payloader, guardar também uma chave, cujo rash vou armazenar no servidor, para ganhar mais uma camada de proteção.

O JWT, com "signed tokens", já faz algo similar, então não vejo necessidade alguma.

Para clarificar o assunto, JWT é algo complexo. O básico parece fácil, mas eu recomendo que você leia a especificação e entenda como ele funciona com o seu fluxo de OAuth para compreender todos os detalhes.

Além do mais, quero clarificar duas palavras-chave:

Integridade: O JWT garante integridade, ou seja, se a sua aplicação recebe um token JWT, a aplicação pode verificar e ter a certeza de que o token e o conteúdo são íntegros. Ou seja, pertencem ao usuário no momento da autenticação, ao invés de alguém tentando se passar pelo usuário.
Criptografia: O conteúdo do JWT não é criptografado, como outros já disseram, mas a transmissão deste JWT é encriptada com HTTPS. Ou seja, atores maliciosos não vão conseguir ver o conteúdo do JWT, mas o dono do JWT (no nosso exemplo, um usuário do seu aplicativo) vai conseguir ler o conteúdo do JWT.

Em resumo, coloque informações que não são sensíveis, como identificadores, mas não coloque informações que o usuário não pode saber. O ID do usuário é um dado normalmente colocado em JWT.