En mayo de 2015 el IETF publica el RFC 7519, que define JWT (JSON Web Token) como el estándar para la representación compacta y autónoma de claims transferidos entre partes como objeto JSON firmado criptográficamente. El problema que resuelve es de escala: en los primeros sistemas basados en OAuth 2.0, los tokens de acceso eran cadenas opacas aleatorias que obligaban al servidor receptor a consultar una base de datos central en cada petición para verificar su validez y obtener los permisos asociados; a miles de peticiones por segundo, este patrón genera un cuello de botella insostenible. Un JWT lleva la información del usuario y sus permisos codificados dentro del propio token en tres partes separadas por puntos: cabecera (algoritmo de firma), payload (claims: identidad, permisos, expiración) y firma criptográfica. El servidor receptor verifica la autenticidad del token usando la clave pública del emisor sin necesidad de ninguna consulta externa, lo que permite verificación instantánea y sin estado (stateless) a cualquier escala. La especificación es obra de Mike Jones (Microsoft), John Bradley (Ping Identity) y Nat Sakimura (NRI), los mismos autores centrales de OAuth 2.0 y OIDC. JWT se convierte en el formato de token dominante del ecosistema web moderno: es el mecanismo subyacente de los ID Tokens de OIDC, de la autorización entre microservicios, y del estándar de credenciales verificables de identidad digital.