JWT Decodificador/
Tus datos son 100% privados: JWT se decodifica y codifica directamente en tu dispositivo.
Aprender sobre JWT
Toda la información que te interesa sobre JWT y guía paso a paso para verificar JWT en diferentes marcos.
¿Qué es JWT?
JWT (JSON Web Token) es un token autónomo y sin estado que lleva información en un formato estructurado y legible. Ya sea que estés protegiendo una API o adoptando autenticación basada en tokens para tu aplicación, los JWT son una herramienta poderosa, porque:
- Sin estado: Los JWT son autónomos y no requieren un estado en el servidor para validar. JWT puede asegurar la integridad de los datos mediante firmas.
- Compatibilidad entre servicios: Los JWT pueden ser fácilmente compartidos y verificados entre diferentes servicios.
- Extensible: La carga útil de un JWT puede contener afirmaciones personalizadas, permitiendo una autorización flexible y compartición de información.
La estructura del JWT
Un JWT típico se divide en tres partes, cada una codificada en Base64URL y separada por puntos (.)
- Encabezado - Contiene metadatos, como el algoritmo de firma (por ejemplo, HS256 o RS256) y el tipo de token (JWT).
- Carga útil - Contiene los datos reales, como el ID de usuario, el perfil de usuario, la hora de expiración o los alcances.
- Firma - Una combinación cifrada del encabezado, la carga útil, y asegurada usando una clave secreta. Su propósito es garantizar la integridad del token y confirmar que no ha sido alterado.
Esta estructura permite que los JWT proporcionen una forma compacta y segura de transmitir información entre partes.
Afirmaciones comunes en tokens JWT
Las afirmaciones son parte de la carga útil y contienen la información clave. Aquí están algunas Reivindicaciones Registradas estandarizadas para tu referencia:
| Afirmaciones | Nombre completo | Descripción |
|---|---|---|
| iss | Emisor | La entidad que emitió el JWT, como el servidor de autorización. |
| sub | Sujeto | Identifica el sujeto del JWT, que típicamente representa al usuario autenticado. |
| aud | Audiencia | Especifica qué recipientes pueden aceptar y procesar el token. Esto puede ser un conjunto de valores para múltiples audiencias o un solo valor para un solo destinatario. |
| exp | Hora de Expiración | Establece un tiempo de expiración en el token después del cual se vuelve inválido. Esto ayuda a prevenir ataques de repetición al limitar cuánto tiempo sigue siendo válido un token. |
| nbf | No Antes | Haz que un token sea válido solo después de esta marca de tiempo. Útil en situaciones donde los relojes no son accesibles. |
| iat | Emitido en | Cuando se creó el token. Esto se puede usar para determinar la edad del token. |
| jti | ID del JWT | Un identificador único para el token, útil para prevenir que el mismo token se use varias veces (por ejemplo, en ataques de repetición). |
Dependiendo de la especificación y la configuración del servidor de autorización, se pueden incluir afirmaciones adicionales en la carga útil para soportar casos de uso específicos. También puedes agregar afirmaciones personalizadas a JWT para satisfacer requisitos de negocio específicos.
Token de ID
Utilizado en OpenID Connect, incluye afirmaciones como la información del perfil (por ejemplo, nombre, correo electrónico, etc.) sobre el usuario autenticado.
Token de Acceso
Utilizado en OAuth 2.0, otorga acceso a recursos específicos o APIs en nombre del usuario o aplicación.
¿Cuándo usar JWT?
Los JWT pueden ser particularmente beneficiosos en los siguientes escenarios:
- Arquitectura de microservicios: Para autenticación sin estado entre múltiples servicios.
- Sistemas de inicio de sesión único (SSO): Habilitando el acceso a múltiples aplicaciones con una sola autenticación.
- Aplicaciones móviles: Manteniendo las sesiones de usuario de manera eficiente a través de llamadas API.
- Aplicaciones de alto tráfico: Reduciendo la carga de la base de datos en entornos de alto volumen.
- Intercambio de recursos entre orígenes (CORS): Simplificando la autenticación a través de múltiples dominios.
- Arquitecturas sin servidor: Proporcionando autenticación sin estado donde las sesiones del lado del servidor son difíciles.
¿Cómo verificar un JWT?
La integridad de un JWT debe ser verificada para asegurarse de que su encabezado y carga útil no han sido manipulados. A continuación, se presentan ejemplos paso a paso para verificar JWT en entornos de programación populares:
Temas relacionados con JWT
Toda la información que te interesa sobre JWT y guía paso a paso para verificar JWT en diferentes marcos.
- Algoritmos JWT: EC vs. RSAExplora los algoritmos de firma de JWT, como EC y RSA, y aprende cómo elegir el método más seguro y eficiente para tu aplicación.
- Token de ID & Token de Acceso & Token de Refresco¿Conoces los propósitos específicos de los Tokens de ID, Tokens de Acceso y Tokens de Refresco? Comprende sus roles en los procesos de autenticación y autorización desde una perspectiva de JWT.
- Reivindicaciones personalizadas de tokens JWT¿Cómo logra JWT un control de acceso granulado? Compara RBAC (Control de Acceso Basado en Roles) y ABAC (Control de Acceso Basado en Atributos) para encontrar la mejor solución para tu aplicación.
- Token opaco vs. JWTExplora las diferencias fundamentales entre JWT y los Tokens Opacos, y descubre por qué JWT se ha convertido en la elección moderna para la autenticación con su alto rendimiento y escalabilidad.
- Autorización de API: claves de API vs. Autenticación básica vs. Tokens OAuth JWTExplora tres mecanismos comunes de autorización de API con sus pros y contras. Profundiza en una mejor práctica sobre cómo proteger tus APIs usando tokens OAuth JWT.
- JWT vs. Autenticación basada en sesionesLa autenticación basada en sesiones se basa en el almacenamiento del lado del servidor para mantener las sesiones de usuario, mientras que la autenticación basada en tokens permite una comunicación sin estado y escalable entre clientes y servidores. Descubre cómo JWT está revolucionando la seguridad de las API y por qué se está convirtiendo en la opción preferida para la autenticación moderna.
- OAuth 2.0 & OIDC & SAMLLos términos de moda como OAuth, OpenID Connect (OIDC), SAML, SSO y JWT se utilizan con frecuencia en el dominio de la gestión de identidad y acceso (IAM), pero ¿qué significan? ¿Cómo funcionan juntos?
Desbloquea más con Logto Cloud
Simplifica tu flujo de trabajo y asegura la gestión de usuarios con Logto Cloud. Basado en OpenID Connect (OIDC), aprovecha JWT para ofrecer un sistema fiable de autenticación y autorización diseñado para escalar según tus necesidades.