AG
JWT
DECODER
Decodificador
Algoritmos
Reclamaciones
Guías
Acerca de
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Decodificador
/
Guías
/
JWT en OAuth 2.0 y OpenID Connect
Guía
JWT en OAuth 2.0 y OpenID Connect
Cómo se usa JWT en OAuth 2.0 y OpenID Connect.
Token de acceso: representa el permiso para acceder a un recurso (API). A menudo es un JWT, pero su formato no está impuesto.
Token de ID (OIDC): un JWT que lleva el resultado de la autenticación; debe ser un JWT e incluye sub, aud, iss, exp y reclamaciones de perfil.
Token de refresco: se usa para renovar el token de acceso; normalmente es una cadena opaca, así que no está pensado para decodificarse.
Al verificar, comprueba siempre iss, aud, exp y la firma; OIDC verifica la firma con el JWKS (claves públicas) del emisor.
Prueba a decodificar un token tú mismo
Solo pega y la cabecera, la carga útil y las reclamaciones se despliegan al instante.
Abrir el decodificador
Relacionados
¿Qué es un JWT?
Un JWT (JSON Web Token) es un pequeño formato de token JSON firmado para pasar información de forma segura entre partes.
La estructura de tres partes del JWT
Todo JWT consta de header.payload.signature, y cada parte está codificada en base64url.
Lista de comprobación de seguridad JWT
Una breve lista con los principios clave para usar JWT de forma segura.
JWT frente a autenticación por sesión
La diferencia entre la autenticación por token (JWT) y por sesión de servidor (cookie), y cuándo usar cada una.
Errores comunes de JWT y soluciones
Los errores que encuentras con más frecuencia al trabajar con JWT, con sus causas y soluciones.
Tokens de acceso y tokens de refresco
El papel del token de acceso de vida corta y del token de refresco que lo renueva.
JWS frente a JWE (firmado vs cifrado)
Un JWT suele ser un JWS firmado; para ocultar el contenido se usa un JWE cifrado. Esta es la diferencia.
Dónde guardar un JWT: localStorage vs cookie
Dónde guardas un JWT en el navegador cambia tu riesgo de XSS y CSRF.
Reclamaciones personalizadas (públicas vs privadas)
Más allá de las reclamaciones registradas (iss, exp, ...), los tipos que defines tú y cómo evitar colisiones.