Un protocolo de comunicación en tiempo real.

Un formato de token basado en JSON utilizado para autenticación y autorización.

Un algoritmo de cifrado para proteger datos en bases de datos.

Un estándar para compresión de datos en la web.

Header, Payload y Signature

Clave pública, Clave privada y Firma

Request, Response y Cookie

Token, Código de Verificación y Clave Secreta

El identificador del usuario y su contraseña.

Los permisos y roles del usuario.

El algoritmo de firma y el tipo de token.

La clave secreta utilizada para firmar el token.

AES

RSA

HMAC-SHA256

MD5

Para cifrar los datos del token y hacerlos ilegibles

Para verificar la autenticidad y la integridad del token

Para reducir el tamaño del token

Para permitir el acceso anónimo a la API

Un JWT puede ser validado sin necesidad de consultar una base de datos.

Un JWT firmado puede ser decodificado sin la clave secreta.

Un JWT puede incluir información sobre el usuario autenticado.

Un JWT no puede ser interceptado en una conexión HTTPS segura.

Contener la firma del token para validar su autenticidad.

Almacenar los datos del usuario autenticado.

Especificar el algoritmo utilizado para firmar el token.

Encriptar la información antes de enviarla al cliente.

Identificadores de usuario

Roles y permisos

Datos personales sensibles como contraseñas

Fechas de expiración del token

JWT permite la autenticación sin necesidad de almacenar sesiones en el servidor.

JWT es más difícil de interceptar que una sesión tradicional.

JWT solo puede ser utilizado con autenticación basada en OAuth.

JWT siempre se almacena de forma segura en una cookie.