Este sitio también está disponible en English.Cambiar a English
KAITUM AINuestra marca propia — IA de ejecución para ventas de automoción.En nrmnext.com
Wiki

JWT.

Equipo Wiki··2 min de lectura

JSON Web Tokens — tokens compactos y firmados para auth. Cuándo son útiles y cuándo están sobrevalorados.

Categoría · Seguridad y Compliance

Un token firmado en texto claro.

Un JSON Web Token es un paquete de datos compacto y firmado: header, payload y firma, codificados en base64. La firma garantiza que el contenido no ha sido manipulado, pero no lo cifra. Quien tiene el token puede leer el contenido.

Lo habitual es que un JWT contenga quién es el usuario, cuándo caduca el token y qué permisos lleva. El servidor puede verificarlo sin consultar una base de datos en cada petición.

Cuándo son útiles.

Los JWT despliegan su fuerza en sistemas distribuidos y sin estado, por ejemplo cuando varios servicios deben verificar la misma identidad sin compartir una sesión común. En combinación con OAuth/OIDC, como access tokens de vida corta, son lo normal.

Los empleamos donde el ser stateless es realmente una ventaja, y mantenemos su vigencia corta.

Cuándo se sobrevaloran.

El mayor malentendido: un JWT ya emitido no se puede revocar sin más; hasta que caduca, es válido. Para sesiones clásicas con logout inmediato, una sesión del lado del servidor suele ser la opción más honesta.

Quien escribe datos sensibles en el payload o mantiene tokens válidos durante meses, ha malinterpretado el formato.

PROFUNDIZAR

¿Encaja con un tema suyo?

Si quiere hablar de cómo trasladar esto a su contexto — 30 minutos bastan para empezar.

Más artículos