Los JWTs (JSON Web Tokens) están en todas partes: frontends, backends, microservicios, y por una buena razón: son fáciles de manejar, autónomos y estandarizados. Pero aunque los JWTs pueden ser una buena opción para la autenticación, usarlos para la autorización es una decisión que conlleva serios inconvenientes, especialmente en sistemas distribuidos.
En esta charla, exploraremos las limitaciones técnicas y de seguridad de la autorización basada en JWT y explicaremos por qué son fundamentalmente incompatibles con las necesidades de las aplicaciones modernas. Desde el infame ""New Enemy Problem"" descrito en el documento de Google sobre Zanzibar hasta la vaga semántica de las afirmaciones de alcance y la dificultad de revocar tokens en vuelo, desentrañaremos las consecuencias reales de tratar los JWTs como tu capa de AuthZ.
This talk has been presented at Web Engineering Summit 2026, check out the latest edition of this Tech Conference.






















Comments