JWT Tokens Explicados: Estructura, Seguridad y Mejores Prácticas

Los JSON Web Tokens aparecen en casi todos los sistemas de autenticación modernos. Esa larga cadena en tu encabezado Authorization — eyJhbGciOiJIUzI1NiIs... — es un JWT, y entender qué contiene y cómo funciona es esencial para construir aplicaciones seguras.

¿Qué Es un JWT?

Un JWT es un formato de token compacto y seguro para URLs que transporta claims (datos) entre dos partes. Es autocontenido — el token mismo contiene la información necesaria para verificar su autenticidad y extraer datos del usuario, sin requerir una consulta a la base de datos.

Decodifica cualquier JWT al instante con nuestro Codificador/Decodificador JWT. Pega un token y observa su header, payload y firma desglosados.

Estructura del JWT: Tres Partes

Cada JWT tiene tres partes codificadas en Base64URL separadas por puntos:

header.payload.signature

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Especifica el algoritmo de firma y el tipo de token.

Payload

{
  "sub": "user123",
  "name": "Alex Chen",
  "role": "admin",
  "iat": 1708963200,
  "exp": 1709049600
}

Contiene claims — los datos reales. Los claims estándar incluyen sub (sujeto), iat (emitido en) y exp (expiración).

Signature

Se crea firmando el header y payload codificados con una clave secreta. Esto previene la manipulación — cualquier modificación invalida la firma.

Cómo Funciona la Autenticación con JWT

1. El usuario inicia sesión con sus credenciales
2. El servidor crea un JWT con los claims del usuario y lo firma
3. El servidor devuelve el JWT al cliente
4. El cliente envía el JWT en el encabezado Authorization en las solicitudes posteriores
5. El servidor verifica la firma y extrae los claims — sin necesidad de consultar la base de datos

Mejores Prácticas de Seguridad

Siempre Verifica la Firma

Nunca confíes en un JWT sin verificar su firma. Decodifica el payload con nuestro Decodificador JWT para inspeccionar tokens durante el desarrollo, pero siempre verifica criptográficamente en producción.

Usa Tiempos de Expiración Cortos

Los JWTs no pueden ser revocados una vez emitidos (a diferencia de los tokens de sesión). Mantén los tiempos de expiración cortos (15-60 minutos) y usa refresh tokens para sesiones más largas.

Elige el Algoritmo Correcto

• HS256 — HMAC con SHA-256, clave simétrica. Simple, rápido, bueno para aplicaciones de un solo servidor
• RS256 — RSA con SHA-256, claves asimétricas. Mejor para sistemas distribuidos donde múltiples servicios verifican tokens
• Nunca uses "none" — La vulnerabilidad alg: "none" ha causado brechas de seguridad reales

Protege la Clave Secreta

Tu clave de firma JWT es la clave maestra de tu sistema de autenticación. Guárdala de forma segura, rótala periódicamente y nunca la expongas en código del lado del cliente.

No Almacenes Datos Sensibles en el Payload

Los payloads de JWT están codificados en Base64, no cifrados. Cualquiera puede decodificarlos. Nunca incluyas contraseñas, números de tarjetas de crédito ni secretos.

Errores Comunes con JWT

1. No validar la expiración — Siempre verifica el claim exp
2. Almacenar JWTs en localStorage — Vulnerable a ataques XSS. Usa cookies httpOnly en su lugar
3. Tokens sobredimensionados — Los JWTs van en cada encabezado de solicitud. Mantén los payloads ligeros
4. No usar HTTPS — Los JWTs enviados por HTTP pueden ser interceptados

Preguntas Frecuentes

¿Puedo revocar un JWT?

No directamente — los JWTs son stateless. Las soluciones alternativas incluyen tiempos de expiración cortos, listas negras de tokens o cambiar la clave de firma (lo que invalida todos los tokens).

¿Debería usar JWTs para sesiones?

Los JWTs funcionan bien para autenticación de APIs y microservicios. Para sesiones web tradicionales, las sesiones del lado del servidor con cookies suelen ser más simples y seguras.

¿En qué se diferencia JWT de OAuth?

OAuth es un framework de autorización. JWT es un formato de token. OAuth puede usar JWTs como access tokens, pero resuelven problemas diferentes.

Recursos Relacionados

• Codificación Base64 Explicada — comprende la codificación que usan los JWTs
• Entendiendo la Seguridad de JWT — análisis más profundo de vulnerabilidades
• Codificador/Decodificador JWT — decodifica y crea JWTs al instante
• Generador de Hash — explora los algoritmos detrás de las firmas JWT