Comparación de Sesiones y JSON Web Tokens en Autenticación

Clase 8 de 25 • Curso de OAuth 2.0 y OpenID Connect: Flujos de Autenticación y Casos de Estudio

Contenido del curso

Introducción a OAuth 2.0 y OIDC

JSON Web Tokens

Open Authorization 2.0

Open ID Connect

OAuth y OIDC en producción

Tomar examen

Resumen

Entender la diferencia entre sesiones y tokens es fundamental para cualquier persona que trabaje con autenticación en aplicaciones web modernas. Durante años, las sesiones fueron el estándar, pero la llegada de los JSON Web Tokens (JWT) transformó la forma en que gestionamos la identidad y los permisos de los usuarios. A continuación se analiza cómo funciona cada enfoque, sus limitaciones y por qué los tokens se han convertido en la alternativa preferida.

¿Cómo funciona el flujo de autenticación con sesiones?

Todo comienza cuando el usuario introduce su nombre de usuario y contraseña en un formulario. Esa información se envía al servidor como un authorization request de tipo basic [0:25], donde el usuario y la contraseña van concatenados por dos puntos y codificados. Este envío debe ocurrir de forma segura, ya que de lo contrario las credenciales podrían filtrarse.

El servidor recibe las credenciales, confirma que el usuario existe en la base de datos y valida que la contraseña sea correcta. Cuando la confirmación es exitosa, el servidor crea una sesión [1:00].

¿Qué es una sesión y cómo identifica al usuario?

Una sesión es un espacio en memoria del servidor que almacena información relevante sobre la interacción del usuario. Cada sesión es única por usuario y genera un ID de sesión que, por lo general, se almacena en una cookie [1:15]. Las cookies viajan automáticamente en cada request entre el cliente y el servidor, de modo que la aplicación puede distinguir a un usuario de otro gracias a ese identificador.

¿Cuáles son las limitaciones de las sesiones?

Aunque las sesiones han sido robustas durante años, presentan desventajas importantes en contextos modernos [1:45]:

Las single-page apps no refrescan desde el servidor, por lo que si el estado de la sesión cambia, no hay forma sencilla de comunicárselo al cliente.
Las REST API, por definición, deben ser stateless (sin estado), y las sesiones contradicen este principio.
En arquitecturas de microservicios, gestionar sesiones y cookies entre múltiples servicios y dominios resulta complejo.
Las sesiones no escalan bien: más usuarios significan más sesiones abiertas y mayor consumo de memoria, lo que suele requerir servicios adicionales para su manejo [2:30].

¿Cómo resuelven los JSON Web Tokens estos problemas?

El flujo con tokens arranca igual: el usuario envía sus credenciales de forma segura mediante un request tipo basic [2:55]. El servidor valida la identidad y, en lugar de crear una sesión, firma un JSON Web Token. Este token se envía al cliente, normalmente dentro de una cookie segura o de forma directa, y el cliente debe almacenarlo de manera segura, ya sea en memoria o en una cookie [3:15].

Desde ese momento, el cliente incluye el token en cada solicitud para acceder a los recursos del servidor.

¿Qué ventajas ofrecen los tokens frente a las sesiones?

Los beneficios son significativos [3:40]:

Las single-page apps ya no dependen del servidor para conocer el estado: el token contiene los permisos y el cliente lo utiliza directamente.
El backend puede recibir múltiples requests de múltiples clientes sin preocuparse por escalar sesiones ni consumir grandes cantidades de memoria.
La validación se reduce a comprobar si el token es válido mediante un algoritmo, un proceso rápido y eficiente.
El cliente conoce sus permisos sin necesidad de consultar la base de datos cada vez, ya que esa información viaja dentro del propio token [4:10].

En contraste, con sesiones cada consulta de permisos suele implicar un viaje a la base de datos, lo que añade latencia y carga al sistema.

¿Cuándo elegir sesiones y cuándo elegir tokens?

La implementación de sesiones ha sido sólida y ha perdurado, pero en los contextos actuales sus desventajas se hacen evidentes. Los tokens representan una solución eficaz para aplicaciones modernas, aunque requieren especial cuidado en la implementación y, sobre todo, en dónde se almacenan [4:40].

Si trabajas con single-page apps, REST API o microservicios, los JWT son la opción natural. Si tu aplicación es más tradicional con renderizado del lado del servidor, las sesiones pueden seguir siendo válidas. Comparte en los comentarios tu experiencia: ¿en qué escenarios preferirías uno sobre otro?

Comentarios

Zaidibeth Ramos

student•

Trataria en la medida de lo posible evitar las sesiones para optimizar los costos en memoria. Sin embargo, pueden ser utiles en casos como los de aplicaciones bancarias que necesitan mayor nivel de seguridad y no se deberian realizar requests de un mismo usuario desde distintas sesiones al mismo tiempo. Respecto a los tokens, los usaria en aplicaciones de uso comun, donde se realizan transacciones simples.

Facundo Castro

student•

Un token puede resolver problemas cuando, por ejemplo, se una misma aplicación tanto para el navegador de la computadora o en una aplicación de teléfono móvil. Cuando se olvida de cerrar una sesión en una computadora (ajena), la aplicación del teléfono puede cerrarla de forma remota. Como sucede con WhatsApp.

Jorge Adoney Espinosa Gómez

student•

Con respecto a enviar los datos de ID se session o el JWT por cookies estuve leyendo sobre un tipo de exploit llamado CSRF que básicamente se aprovecha de los datos de session almacenados en cookies para "secuestrar" la session del usuario víctima y realizar una petición que requiere autorización haciéndose pasar por el usuario. ¿Entonces no sería mejor no enviar ni almacenar estos datos de session y autorización por medio de cookies?

Guillermo Rodas

teacher•

Los ataques CSRF se suelen combatir mediante el envío de un estado (state) que solo conoce tu sesión actual y el backend.

¿tienes el link del articulo a la mano para revisar de que se trata y darte una respuesta más acertada?

Juan Pico

student•

Tengo una pregunta. ¿Cómo podría guardar información sensible de manera segura en un JWT? Cuando uso sesiones a veces se guarda en sesión info sensible que está asociada al usuario y al estar en el server pues digamos que está un poco más protegida, pero según dices no es recomendable guardar info sensible en el payload de un JWT ¿Tendría que consultarla en cada petición que se haga? ¿No sería una carga adicional de tráfico a la bd?

Steve Anthony Luzquiños Agama

student•

No debes guardar info sensible de un usuario en un JWT. Lo que he hecho es guardar el id en el token, y consultar info de sesión en una capa de caché, usando un Redis por ejemplo. Claro que esta solución necesita una bd para el sistema y una capa de caché interna o externa.

Angel Javier Sanchez Tenjo

student•

🔐 Usaría sesiones cuando:

Aplicaciones web tradicionales (Server-Side Rendering)
- Ejemplo: aplicaciones en Laravel, Django, Rails, Spring MVC.
- El servidor controla el estado y renderiza vistas.
- Las cookies HTTP-Only funcionan muy bien y reducen riesgos de XSS.
Sistemas simples o monolíticos
- Un solo backend.
- Poca necesidad de escalar horizontalmente.
- Menor complejidad operativa.
Requerimientos de seguridad estrictos y control centralizado
- Necesidad de invalidar sesiones inmediatamente (logout forzado).
- Auditoría y control total del estado del usuario.

📌 Conclusión:

Usaría sesiones cuando el servidor es el “dueño del estado” y la arquitectura no exige statelessness.

🔑 Usaría tokens (JWT) cuando:

Single Page Applications (SPA)
- Angular, React, Vue.
- Frontend desacoplado del backend.
- El cliente necesita autonomía.
APIs REST y arquitecturas stateless
- Microservicios.
- Escalado horizontal.
- Cada request debe ser independiente.
Integraciones entre sistemas y terceros
- OAuth 2.0 / OpenID Connect.
- Mobile apps.
- Comunicación backend-to-backend.
Arquitecturas modernas distribuidas
- Validadores, gateways, BFF.
- Sistemas donde múltiples servicios deben confiar en la identidad del usuario.

📌 Conclusión:

Usaría JWT cuando necesito desacoplamiento, escalabilidad y comunicación entre múltiples servicios sin mantener estado en el servidor.

ROSA PINAS

student•

uno de los peores tutores...

Fernando Moyano

student•

porqué ? justificá tu respuesta.

Luisa Fernanda Duque Ortiz

student•

Una pregunta si voy a validar unos servicios que consume mi propia aplicación que está hecha en aspx y tiene manejo de sesiones para la validación de usuarios pero además tengo unas página html que tienen embebido cada una un componente de REACT y este hace llamados a unos servicios web api en .net, que tipo de autenticación me recomendarías hacer? Aclaró que todo es la misma aplicación y mis propios servicios pero como se acceden desde REACT tiene q quedar completamente público con la url del dominio, no puedo usar localhost porque no lo encontraría desde el lado del cliente. Agradezco de antemano tu respuesta

Francisco Israel Teneda Gallardo

student•

Comparto un articulo interesante: ~joepie91/blog/2016/06/13/stop-using-jwt-for-sessions/

Comparación de Sesiones y JSON Web Tokens en Autenticación

Introducción a OAuth 2.0 y OIDC

OAuth y OpenID Connect: Autenticación y Autorización Básica

¿Qué es la autenticación?

Autorización y Control de Acceso Basado en Roles

Protocolos Open Authorization y OpenID Connect: Alternativas y Comparación

Protección de Endpoints con Autenticación y Autorización Básica

Flujo de Open Authorization y Open ID con Discord

JSON Web Tokens

JSON Web Tokens: Conceptos, Ventajas y Algoritmos de Firma