JWT (JSON Web Token) es un estándar abierto (RFC 7519) que define una forma compacta y autocontenida para transmitir información de manera segura entre partes. Esta información puede ser verificada y confiable porque está firmada digitalmente.
JWT consta de tres partes, separadas por puntos (.): cabecera (Header), carga útil (Payload) y firma (Signature). La cabecera especifica el algoritmo de firma, la carga útil contiene las declaraciones y la firma se utiliza para verificar que el mensaje no ha sido alterado.
Escenarios comunes de uso de JWT
Autenticación (el escenario más común), intercambio de información (los JWT pueden transmitir información de manera segura porque están firmados), autorización (contiene información de permisos del usuario) e implementación de inicio de sesión único.
Tipos de algoritmos de firma
JWT soporta varios algoritmos de firma, principalmente divididos en dos categorías: algoritmos simétricos basados en HMAC (como HS256) y algoritmos asimétricos basados en RSA/ECDSA (como RS256, ES256). Los algoritmos simétricos usan la misma clave para firmar y verificar, los asimétricos usan una clave privada para firmar y una pública para verificar.
No almacenes información sensible (como contraseñas) en JWT, porque la carga útil solo está codificada en Base64, no cifrada. Para aplicaciones que requieren alta seguridad, se recomienda usar tiempos de expiración cortos e implementar estrategias de rotación de tokens.
¿Qué hacer cuando expira un JWT?
Cuando un JWT expira, el servidor rechazará el token. La forma recomendada de manejar esto es implementar un mecanismo de token de actualización (Refresh Token), donde el cliente usa el token de actualización para obtener un nuevo token de acceso, sin requerir que el usuario vuelva a iniciar sesión. Los tokens de actualización suelen tener una vida útil más larga, pero deben almacenarse con cuidado.
Estrictamente hablando, los JWT están diseñados para ser tokens sin estado y no pueden ser revocados realmente. Sin embargo, hay varias soluciones comunes: mantener una lista negra de tokens revocados (lo que podría contrarrestar la ventaja de no tener estado de los JWT), usar tiempos de expiración cortos junto con tokens de actualización, o incrustar un identificador de versión en el token, permitiendo al servidor rechazar versiones antiguas.
¿Diferencia entre JWT y sesión?
JWT es un token autocontenido que incluye toda la información necesaria, ideal para sistemas distribuidos, sin necesidad de almacenar estado de sesión en el servidor. Las sesiones se basan en almacenamiento en el servidor, requieren mantener el estado de sesión y son más adecuadas para arquitecturas de un solo servidor. JWT es más amigable para la escalabilidad, pero la revocación es compleja; las sesiones son fáciles de revocar, pero menos escalables.