Buenas prácticas y riesgos de los JSON Web Tokens (JWT)

Clase 22 de 25 • Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Contenido del curso

Introducción a OAuth 2.0 y OIDC

JSON Web Tokens

Open Authorization 2.0

Open ID Connect

OAuth y OIDC en producción

Tomar examen

Resumen

Saber cuándo y cómo usar JSON Web Tokens marca la diferencia entre una aplicación segura y una vulnerable. Antes de lanzar a producción cualquier sistema basado en OAuth u OpenID Connect, es fundamental conocer las limitaciones de los JWT, las preocupaciones reales de seguridad y las estrategias para mitigarlas.

¿Cuándo no deberías usar JSON Web Tokens?

Existen escenarios donde los JWT dejan de ser la mejor opción. Si alguna de las siguientes buenas prácticas no se puede cumplir, lo más prudente es considerar alternativas como las sesiones tradicionales [01:14]:

Evitar información sensible en el payload: los JWT se pueden decodificar sin necesidad de la llave secreta. Cualquier dato como números de teléfono, identificaciones, contraseñas o tarjetas de crédito queda expuesto. Esto también puede violar regulaciones como el GDPR [01:32].
Mantener el payload liviano: a mayor cantidad de datos, más pesado el token. Las cookies tienen límites de tamaño y las URLs también, por lo que abusar del contenido genera problemas de almacenamiento y transporte [02:08].
Usar un tiempo de expiración corto: si un access token se filtra, cualquiera puede usarlo sin necesidad de comunicación adicional con el servidor. La recomendación es un máximo de quince minutos [02:27].
Tratar los JWT como tokens opacos: aunque técnicamente se pueden decodificar del lado del cliente, no es seguro hacerlo allí. La verificación de la firma siempre debe ocurrir en el backend, porque el cliente se puede modificar y nada garantiza la integridad de la validación [02:48].

Cuando alguna de estas prácticas se rompe, usar JSON Web Tokens se convierte en un riesgo de seguridad real para tu aplicación [03:24].

¿Cómo resolver las preocupaciones de seguridad con JWT?

Más allá de las buenas prácticas, existen preocupaciones concretas que requieren soluciones técnicas específicas.

¿Dónde almacenar los tokens de forma segura?

Uno de los errores más comunes es guardar los JWT en el local storage, lo que expone el token a vectores de ataque como librerías de terceros maliciosas [03:40]. La forma más efectiva es usar una cookie segura del lado del servidor. Esta cookie solo debe existir dentro del dominio y solo otro backend puede acceder al token [04:08].

Para las single-page apps (SPA), esto funciona siempre que todo el sistema pertenezca al mismo dominio. Si la SPA no comparte dominio con el servidor, la alternativa es almacenar el token en memoria: un state de React o una variable de JavaScript [04:32]. Al perder la referencia, simplemente se inicia sesión de nuevo.

¿Qué hacer si un token se filtra?

Si un token comprometido tiene un tiempo de expiración lo suficientemente largo para causar daño, se necesitan dos acciones [04:58]:

Asegurar que el token incluya el claim JTI (JSON Token Identifier), un identificador único que permite rastrear el token filtrado.
Implementar una block list o deny list donde se registren los tokens invalidados. Esto requiere desarrollo adicional en el backend.

¿Cómo manejar tokens expirados?

Cuando un token expira, hay dos caminos [05:32]:

Escuchar el error y redirigir al usuario al inicio de sesión con un mensaje claro.
Implementar tecnologías como refresh token o silent authentication. Es importante consultar la documentación de tu authorization server para verificar qué mecanismos soporta.

¿Qué pasa si las llaves de firmado se filtran?

En caso de una filtración de llaves criptográficas, se deben ejecutar dos acciones simultáneamente [06:03]:

Agregar al blocklist todos los tokens generados durante el período comprometido.
Contar con un mecanismo de rotación de llaves implementado previamente, lo que implica un desarrollo específico en tu aplicación.

¿Vale la pena el esfuerzo de implementar JWT?

Las preocupaciones con los JSON Web Tokens tienen solución, aunque implican desarrollo adicional. Muchas personas prefieren sesiones tradicionales porque ya traen estas protecciones integradas [06:24]. Sin embargo, los beneficios de los JWT, como la escalabilidad y la independencia del servidor, hacen que valga la pena invertir en su correcta implementación.

Comparte en los comentarios un ejemplo hipotético de cuándo es indispensable usar un JSON Web Token y cuándo sería mejor evitarlo.

Comentarios

Luis Fernando Castañeda Castro

student•

Si, me gustaría el curso sobre JWT y el Framework JOSE (Javascript Object Signing and Encryption)

Gabriel Esquivel

student•

Si no me equivoco en todos los cursos de frontend almacenan el JWT en el localStorage, viene Guillermo y dice no es seguro, ahora no sé qué pensar.

Irving Juárez

student•

Creo que en cursos de puras SPAs, donde no se toca backend, se guardaban ya sea en un session storage o en una cookie del lado del cliente.

Pero si se puede hacer de una manera más segura del lado del servidor con una app fullstack, creo que es mucho mejor

Kengya Moncada

student•

depende... hay librerias que te permiten guardar el token "manera segura" por ejemplo typescript-cookies hace ese trabajo.

Juan Marcelo Panasiti

student•

Con eso de que un jwt no debería durar más de 15 minutos y de que no se debería almacenar en un local storage.. cómo hacen apps como platzi que aunque me logee ahora, vea un par de videos y cierre todo hasta mañana.. cuando vuelva a abrir la page de platzi sigo teniendo la sesión activa?

Almendra Lucía Estrada Navarro

student•

Para realizar llamadas seguras a tu API sin almacenar el access token en el frontend, puedes considerar las siguientes estrategias:

Cookies Seguras: Almacena el token en una cookie con la bandera HttpOnly. Esto impide que scripts del lado del cliente accedan a la cookie, reduciendo el riesgo de ataques XSS.
Almacenamiento en Memoria: Guarda el token en la memoria del cliente (por ejemplo, en un estado de React). De esta forma, el token no persiste y solo está disponible durante la sesión activa.
Backend Proxy: Realiza las llamadas a la API desde un servidor backend que maneje los tokens. El frontend se comunica con tu servidor backend, que a su vez se encarga de interactuar con la API.

Estas prácticas ayudan a minimizar el riesgo de exposición del access token y a mantener la seguridad de tu aplicación.

Nicolas Gonzalez

student•

Un ejemplo de uso de los JWT podria ser cuando un cliente se autentica en un sitio web y la aplicacion le asigna un token, este token se almacena del lado del cliente y funciona para futuras solicitudes que realize, pues al tener ya un token de autenticacion este mismo se utilizara para validar la identidad del cliente.

Nahuel Brandan

student•

Creo que en este ejemplo estás diciendo cliente cuando en realidad quieres decir usuario.

José David Ripalda Fernández

student•

Si es que no quisiera que la información sea decodificada pudiera utilizar un Json Web Encryption para proteger los datos del payload.

Angel Javier Sanchez Tenjo

student•

Usaría JWT cuando necesito escalabilidad y desacoplamiento, por ejemplo en SPAs, APIs REST, microservicios o integraciones B2B, donde el backend debe ser stateless, validar tokens rápidamente y no depender de una sesión centralizada. Un buen ejemplo es un frontend Angular consumiendo una API Spring Boot o varios microservicios validando el mismo token emitido por Keycloak.

Optaría por alternativas como sesiones tradicionales cuando el sistema es monolítico, server-side rendered, con control total del backend y sin necesidad de compartir identidad entre múltiples servicios. Aquí las sesiones son más simples, permiten revocación inmediata y reducen riesgos si no se gestionan bien los tokens en el cliente.

Alexander Toro

student•

Quizás no deberíamos utilizar un JWT cuando tenemos la necesidad de un claim específico que sea protegido. Caso hipotético con un ser en un servidor de autenticación de una entidad gubernamental protegida, CIA, FBI, la identificación del usuario no debería ir en el payload ni quizás el nombre real.

Buenas prácticas y riesgos de los JSON Web Tokens (JWT)

Introducción a OAuth 2.0 y OIDC

OAuth y OpenID Connect: Autenticación y Autorización Básica

¿Qué es la autenticación?

Autorización y Control de Acceso Basado en Roles

Protocolos Open Authorization y OpenID Connect: Alternativas y Comparación

Protección de Endpoints con Autenticación y Autorización Básica

Flujo de Open Authorization y Open ID con Discord

JSON Web Tokens

JSON Web Tokens: Conceptos, Ventajas y Algoritmos de Firma

Comparación de Sesiones y JSON Web Tokens en Autenticación

Firmado de JSON Web Tokens con Librería JWT en Node.js

Verificación de JSON Web Tokens en Node.js

Open Authorization 2.0

Implementación de flujos OAuth 2.0 con APIs populares

Flujos de Autorización en OAuth 2.0: Conceptos y Funcionamiento

Elección del Flujo Oauth 2.0 según Roles del Cliente y Servidor

Implementación de Authorization Code Flow con Spotify y React

Implementación de Authorization CodeFlow con Proofkit en Twitter API

Implementación de Implicit Flow con Twitch en React

Implementación de Client Credentials Flow en Discord

Implementación de Resource Owner Password Flow con Auth0

Open ID Connect

OpenID Connect: Autenticación sobre OAuth paso a paso

Implementación de Implicit Flow con For Post usando Auth0

Implementación del Hybrid Flow en Autenticación de Aplicaciones

OAuth y OIDC en producción

Buenas prácticas y riesgos de los JSON Web Tokens (JWT)

Implementación Segura de Open Authorization (OAuth)

Autenticación Rápida con NextAlt y GitHub en Next.js

Curso Práctico de Autenticación con Outh Zero