No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

¿Cuándo no son convenientes los JWT?

22/25
Recursos

Aportes 6

Preguntas 1

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Si, me gustaría el curso sobre JWT y el Framework JOSE (Javascript Object Signing and Encryption)

Si no me equivoco en todos los cursos de frontend almacenan el JWT en el localStorage, viene Guillermo y dice no es seguro, ahora no sé qué pensar.

Un ejemplo de uso de los JWT podria ser cuando un cliente se autentica en un sitio web y la aplicacion le asigna un token, este token se almacena del lado del cliente y funciona para futuras solicitudes que realize, pues al tener ya un token de autenticacion este mismo se utilizara para validar la identidad del cliente.

Si es que no quisiera que la información sea decodificada pudiera utilizar un Json Web Encryption para proteger los datos del payload.
Para realizar llamadas seguras a tu API sin almacenar el access token en el frontend, puedes considerar las siguientes estrategias: 1. **Cookies Seguras**: Almacena el token en una cookie con la bandera HttpOnly. Esto impide que scripts del lado del cliente accedan a la cookie, reduciendo el riesgo de ataques XSS. 2. **Almacenamiento en Memoria**: Guarda el token en la memoria del cliente (por ejemplo, en un estado de React). De esta forma, el token no persiste y solo está disponible durante la sesión activa. 3. **Backend Proxy**: Realiza las llamadas a la API desde un servidor backend que maneje los tokens. El frontend se comunica con tu servidor backend, que a su vez se encarga de interactuar con la API. Estas prácticas ayudan a minimizar el riesgo de exposición del access token y a mantener la seguridad de tu aplicación.
Quizás no deberíamos utilizar un JWT cuando tenemos la necesidad de un claim específico que sea protegido. Caso hipotético con un ser en un servidor de autenticación de una entidad gubernamental protegida, CIA, FBI, la identificación del usuario no debería ir en el payload ni quizás el nombre real.