Wikinventia — Atlas de descubrimientos e inventos · Era digital

Token de acceso autónomo (JSON Web Token) — Mike Jones, John Bradley y Nat Sakimura

2015 d.C. · Transmisión: Global
ComputaciónSistemaNorteamericana

En mayo de 2015 el IETF publica el RFC 7519, que define JWT (JSON Web Token) como el estándar para la representación compacta y autónoma de claims transferidos entre partes como objeto JSON firmado criptográficamente. El problema que resuelve es de escala: en los primeros sistemas basados en OAuth 2.0, los tokens de acceso eran cadenas opacas aleatorias que obligaban al servidor receptor a consultar una base de datos central en cada petición para verificar su validez y obtener los permisos asociados; a miles de peticiones por segundo, este patrón genera un cuello de botella insostenible. Un JWT lleva la información del usuario y sus permisos codificados dentro del propio token en tres partes separadas por puntos: cabecera (algoritmo de firma), payload (claims: identidad, permisos, expiración) y firma criptográfica. El servidor receptor verifica la autenticidad del token usando la clave pública del emisor sin necesidad de ninguna consulta externa, lo que permite verificación instantánea y sin estado (stateless) a cualquier escala. La especificación es obra de Mike Jones (Microsoft), John Bradley (Ping Identity) y Nat Sakimura (NRI), los mismos autores centrales de OAuth 2.0 y OIDC. JWT se convierte en el formato de token dominante del ecosistema web moderno: es el mecanismo subyacente de los ID Tokens de OIDC, de la autorización entre microservicios, y del estándar de credenciales verificables de identidad digital.

InstituciónIETF — Internet Engineering Task Force
Región históricaEE.UU.
Fuente primariaJones, M.; Bradley, J.; Sakimura, N. — RFC 7519: JSON Web Token (JWT) (IETF, mayo 2015)
Fuente secundariaJones, M.; Bradley, J.; Sakimura, N. — RFC 7515: JSON Web Signature (JWS) (IETF, mayo 2015)
Lengua originalinglés
Ver esta entrada en el atlas interactivo → Ver en el grafo →