JWT explicado: estructura, seguridad y errores comunes

JWT simplifica la autenticación sin estado, pero también hace más fácil distribuir credenciales difíciles de revocar. La disciplina de validación importa más que la comodidad.

Las tres partes

Un JWT tiene header, payload y signature. El payload no está cifrado por defecto, así que no debe contener secretos ni información sensible.

Qué debes validar siempre

• Algoritmos permitidos explícitamente
• exp, iss y aud
• Tokens de acceso de vida corta
• Refresh tokens separados cuando sea necesario

Revocación y operación

Como un JWT ya emitido es difícil de retirar, conviene combinar TTL corto, rotación de claves y, cuando haga falta, listas de revocación.

Consejo práctico

Inspecciona tokens con herramientas locales como JWT Inspector. Subir tokens reales a decodificadores externos es una mala práctica operativa.