JWT (JSON Web Token)

Um JSON Web Token (JWT) é um token compacto, codificado em base64-URL, que carrega declarações de identidade (ID do usuário, nível de assinatura, expiração, escopo) assinadas pelo seu servidor de autenticação. Para um sistema de comentários, o JWT é o formato que a Logora espera ao integrar-se com a sua conta de leitor / pilha de paywall.

O que a Logora valida em cada JWT

• Algoritmo de assinatura : RS256 / ES256 (assimétrico) por padrão. HS256 é suportado, mas desaconselhado.
• A assinatura em si : verificada contra a chave pública do seu IdP (buscada uma vez, armazenada em cache).
• Emissor (iss) : deve corresponder ao IdP que você registrou.
• Público-alvo (aud) : deve corresponder ao seu client ID da Logora.
• Expiração (exp) : tokens vencidos são rejeitados.
• Declarações personalizadas opcionais : nível de assinatura, nível de paywall, pontos de gamificação, usados para liberar debates premium e exibir badges.

Backchannel logout (lançamento de abril de 2026)

Quando um leitor sai da sua sessão no site principal, o seu IdP pode chamar o endpoint de backchannel da Logora para invalidar a sessão ativa no widget de comentários. Sem sessões obsoletas, sem aqueles casos constrangedores de “fiz logout, mas continuo aqui”. Em conformidade com os padrões (OpenID Connect Back-Channel Logout 1.0).

Armadilhas comuns

• Diferença de relógio (clock skew) entre o servidor do seu IdP e o da Logora, resolvida com uma tolerância de 30s em exp e iat.
• Tokens de atualização (refresh tokens) para sessões de leitura de longa duração : tempo de vida recomendado de 15-30 min.
• Nomenclatura de declarações personalizadas : prefira declarações com namespace (https://logora.com/subscription-tier) em vez de nomes genéricos que possam colidir.

Veja SSO e OAuth 2.0 / OIDC para o contexto mais amplo.