Que es un JWT? Entendiendo los JSON Web Tokens

Que es un JWT y Por Que Deberia Importarte

Un JSON Web Token (JWT, pronunciado "yot") es una forma compacta y segura de representar informacion entre dos partes. En la practica, es el mecanismo detras de la mayoria de los sistemas de autenticacion modernos. Cuando inicias sesion en una aplicacion web y permaneces conectado entre recargas de pagina, es muy probable que un JWT este haciendo el trabajo.

Los JWT reemplazaron las sesiones del lado del servidor en muchos casos porque son sin estado. El servidor no necesita almacenar datos de sesion: toda la informacion necesaria esta codificada directamente en el token.

El estandar esta definido en el RFC 7519 y ha sido ampliamente adoptado desde su publicacion en 2015.

Las Tres Partes de un JWT

Cada JWT consiste en tres segmentos codificados en Base64URL, separados por puntos:

xxxxx.yyyyy.zzzzz

• Header: Contiene el tipo de token (JWT) y el algoritmo de firma utilizado (por ejemplo HS256 o RS256).
• Payload: Contiene los claims, es decir, la informacion sobre el usuario y metadatos. Los claims estandar incluyen sub (sujeto), iat (fecha de emision), exp (expiracion).
• Signature: Garantiza que el token no ha sido modificado. Se genera firmando el header y el payload con una clave secreta o privada.

Usa nuestro decodificador JWT para visualizar el contenido de cualquier token en tiempo real.

Algoritmos de Firma

• HS256 (HMAC + SHA-256): Algoritmo simetrico. La misma clave secreta firma y verifica. Simple de implementar, adecuado cuando una sola aplicacion genera y verifica los tokens.
• RS256 (RSA + SHA-256): Algoritmo asimetrico. Una clave privada firma el token, una clave publica lo verifica. Ideal para arquitecturas donde multiples servicios deben verificar tokens.
• ES256 (ECDSA + SHA-256): Similar a RS256 pero con claves mas cortas para seguridad equivalente. Preferido en entornos moviles e IoT.

Nunca uses el algoritmo none en produccion. Es una fuente conocida de vulnerabilidades.

Buenas Practicas de Seguridad

• Vida util corta: Fija la expiracion (exp) entre 15 minutos y 1 hora. Usa refresh tokens para renovar el acceso.
• Almacenamiento seguro: Almacena los tokens en cookies HttpOnly en lugar de localStorage. El localStorage es accesible por JavaScript y vulnerable a ataques XSS.
• Valida siempre: Verifica la firma, la expiracion, el emisor (iss) y la audiencia (aud) en cada solicitud.
• No almacenes datos sensibles: El payload esta codificado, no cifrado. Cualquiera puede decodificarlo. No coloques contrasenas ni datos personales sensibles.

JWT vs Sesiones Tradicionales

• Sesiones: El estado se almacena en el servidor. Facil de invalidar. Requiere almacenamiento compartido en entornos multi-servidor.
• JWT: Sin estado en el servidor. Se adapta facilmente a arquitecturas distribuidas. La invalidacion antes de la expiracion es compleja.

Casos de Uso Principales

• Autenticacion API: El cliente recibe un JWT tras iniciar sesion y lo envia en el header Authorization de cada solicitud.
• Single Sign-On (SSO): Un solo token permite acceder a multiples aplicaciones del mismo ecosistema.
• Intercambio de informacion: Los JWT firmados garantizan la integridad de los datos transmitidos entre servicios.

Explora la estructura de tus tokens con nuestro decodificador JWT gratuito.