JSON Web Tokens — tokens compactos y firmados para auth. Cuándo son útiles y cuándo están sobrevalorados.
Categoría · Seguridad y Compliance
Un token firmado en texto claro.
Un JSON Web Token es un paquete de datos compacto y firmado: header, payload y firma, codificados en base64. La firma garantiza que el contenido no ha sido manipulado, pero no lo cifra. Quien tiene el token puede leer el contenido.
Lo habitual es que un JWT contenga quién es el usuario, cuándo caduca el token y qué permisos lleva. El servidor puede verificarlo sin consultar una base de datos en cada petición.
Cuándo son útiles.
Los JWT despliegan su fuerza en sistemas distribuidos y sin estado, por ejemplo cuando varios servicios deben verificar la misma identidad sin compartir una sesión común. En combinación con OAuth/OIDC, como access tokens de vida corta, son lo normal.
Los empleamos donde el ser stateless es realmente una ventaja, y mantenemos su vigencia corta.
Cuándo se sobrevaloran.
El mayor malentendido: un JWT ya emitido no se puede revocar sin más; hasta que caduca, es válido. Para sesiones clásicas con logout inmediato, una sesión del lado del servidor suele ser la opción más honesta.
Quien escribe datos sensibles en el payload o mantiene tokens válidos durante meses, ha malinterpretado el formato.
