JSON Web Token (JWT) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes como un objeto JSON. Los JWT se pueden firmar con un secreto (HMAC) o un par de claves pública/privada (RSA/ECDSA). Se utilizan comúnmente para la autenticación y el intercambio de información en aplicaciones web.

Estructura

Un JWT consta de tres partes separadas por puntos: Encabezado (algoritmo y tipo de token), Carga útil (notificaciones/datos) y Firma (verificación). Cada parte está codificada en Base64Url. La firma garantiza que el token no haya sido manipulado, pero cualquiera puede decodificar el encabezado y la carga útil.

Casos de uso comunes

Autenticación y autorización de usuarios
Sistemas de inicio de sesión único (SSO)
Autenticación de API
Intercambio seguro de información entre servicios
Gestión de sesiones sin estado

Notificaciones estándar

iss Emisor: quién creó y firmó el token

sub Sujeto: sobre quién trata el token (generalmente el ID de usuario)

aud Audiencia: destinatario previsto del token

exp Expiración: marca de tiempo Unix cuando el token expira

iat Emitido en: marca de tiempo Unix cuando se creó el token

Preguntas Frecuentes

¿Están encriptados los JWT?

Los JWT estándar (JWS) están firmados pero no encriptados: cualquiera puede leer la carga útil. Para tokens encriptados, use JWE (JSON Web Encryption). Nunca almacene datos sensibles en JWT regulares.

¿Cómo invalido un JWT?

Los JWT son sin estado por diseño y no se pueden invalidar directamente. Las estrategias comunes incluyen tiempos de expiración cortos, listas negras de tokens o el cambio de la clave de firma (invalida todos los tokens).