JWT (JSON Web Token)
¿Qué es JWT (JSON Web Token)?
JWT (JSON Web Token)Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
Un JSON Web Token es una cadena con tres partes codificadas en Base64URL y unidas por puntos: header, payload y firma. El header indica el algoritmo de firma; el payload lleva claims como iss, sub, aud, exp y datos propios; la firma permite verificar integridad y origen. Pueden estar firmados (JWS) o cifrados (JWE) y son clave en OAuth 2.0, OpenID Connect y la autenticacion entre servicios. Su naturaleza sin estado simplifica el escalado horizontal pero dificulta la revocacion. Fija el algoritmo en el servidor, valida aud, iss y exp, usa vidas cortas y combinalos con refresh tokens o token introspection.
● Ejemplos
- 01
Un ID token OIDC firmado con RS256 devuelto a una SPA.
- 02
Token de acceso con claims { "sub": "u123", "scope": "read:profile", "exp": 1734567890 }.
● Preguntas frecuentes
¿Qué es JWT (JSON Web Token)?
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion. Pertenece a la categoría de Identidad y acceso en ciberseguridad.
¿Qué significa JWT (JSON Web Token)?
Formato compacto y seguro para URL (RFC 7519) que lleva claims JSON firmadas; muy usado como token de acceso, ID token y contenedor de sesion.
¿Cómo funciona JWT (JSON Web Token)?
Un JSON Web Token es una cadena con tres partes codificadas en Base64URL y unidas por puntos: header, payload y firma. El header indica el algoritmo de firma; el payload lleva claims como iss, sub, aud, exp y datos propios; la firma permite verificar integridad y origen. Pueden estar firmados (JWS) o cifrados (JWE) y son clave en OAuth 2.0, OpenID Connect y la autenticacion entre servicios. Su naturaleza sin estado simplifica el escalado horizontal pero dificulta la revocacion. Fija el algoritmo en el servidor, valida aud, iss y exp, usa vidas cortas y combinalos con refresh tokens o token introspection.
¿Cómo defenderse de JWT (JSON Web Token)?
Las defensas contra JWT (JSON Web Token) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para JWT (JSON Web Token)?
Nombres alternativos comunes: JSON Web Token.
● Términos relacionados
- appsec№ 575
Vulnerabilidades en JWT
Clases de fallos de implementacion en la validacion de JSON Web Tokens que permiten falsificar tokens, escalar privilegios o evadir la autenticacion.
- identity-access№ 749
OAuth 2.0
Marco abierto de autorización que permite al propietario de un recurso conceder a una aplicación de terceros acceso limitado y delimitado a una API, sin compartir credenciales.
- identity-access№ 760
OpenID Connect (OIDC)
Capa de identidad construida sobre OAuth 2.0 que permite a los clientes verificar la identidad de un usuario y obtener información de perfil mediante tokens ID firmados.
- identity-access№ 007
Token de acceso (Access Token)
Credencial de corta duracion emitida por un servidor de autorizacion que el cliente presenta a una API para acceder a recursos protegidos en nombre del usuario o servicio.
- identity-access№ 913
Refresh Token
Credencial de larga duracion usada para obtener nuevos access tokens de corta vida en un servidor OAuth 2.0 sin que el usuario vuelva a iniciar sesion.
- identity-access№ 088
Token portador (Bearer Token)
Credencial opaca o estructurada (RFC 6750) que concede acceso a un recurso solo por su posesion, sin prueba de que el portador sea el legitimo.