Tus datos son 100% privados: el JWT se decodifica y codifica completamente en tu dispositivo.
Toda la información que te interesa sobre JWT y una guía paso a paso para verificar JWT en diversos marcos.
JWT (Token Web JSON) es un token autónomo y sin estado que lleva información en un formato estructurado y legible. Ya sea que estés protegiendo una API o adoptando autenticación basada en tokens para tu aplicación, los JWT son una herramienta poderosa, porque:
Un JWT típico se divide en tres partes, cada una codificada en Base64URL y separada por puntos (.):
Esta estructura permite que los JWT ofrezcan una forma compacta y segura de transmitir información entre partes.
Las reclamaciones son parte de la carga útil y contienen la información clave. Aquí están las Reclamaciones Registradas estandarizadas para tu referencia:
Reclamaciones | Nombre completo | Descripción |
---|---|---|
iss | Emisor | La entidad que emitió el JWT, como el servidor de autorización. |
sub | Sujeto | Identifica al sujeto del JWT, generalmente representando al usuario autenticado. |
aud | Audiencia | Especifica qué receptores pueden aceptar y procesar el token. Esto puede ser un array de valores para múltiples audiencias o un solo valor para un único receptor. |
exp | Tiempo de expiración | Establece un tiempo de expiración en el token después del cual se vuelve inválido. Esto ayuda a prevenir ataques de reproducción limitando cuánto tiempo un token permanece válido. |
nbf | No antes de | Hace que un token sea válido solo después de esta marca de tiempo. Útil en situaciones donde no se puede acceder a relojes. |
iat | Emitido en | Cuando se creó el token. Esto se puede usar para determinar la edad del token. |
jti | ID de JWT | Un identificador único para el token, útil para prevenir que el mismo token sea utilizado múltiples veces (por ejemplo, en ataques de reproducción). |
Dependiendo de la especificación y la configuración del servidor de autorización, pueden incluirse reclamaciones adicionales en la carga útil para soportar casos de uso específicos. También puedes agregar reclamaciones personalizadas a JWT para cumplir con requisitos comerciales únicos.
Usado en OpenID Connect, incluye reclamaciones como información de perfil (por ejemplo, nombre, correo electrónico, etc.) sobre el usuario autenticado.
Usado en OAuth 2.0, otorga acceso a recursos específicos o APIs en nombre del usuario o la aplicación.
Los JWT pueden ser particularmente beneficiosos en los siguientes escenarios:
La integridad de un JWT debe ser verificada para asegurar que su encabezado y carga útil no han sido alterados. A continuación se presentan ejemplos paso a paso para verificar JWTs en entornos de programación populares:
Toda la información que te interesa sobre JWT y una guía paso a paso para verificar JWT en diversos marcos.
Simplifica tu flujo de trabajo y asegura la gestión de usuarios con Logto Cloud. Construido sobre OpenID Connect (OIDC), se apoya en JWT para ofrecer un sistema de autenticación y autorización confiable diseñado para escalar según tus necesidades.