Cuanto deberia medir un JWT Secret?
Resumen
Una referencia practica para la longitud de un JWT Secret y para los factores que importan mas que el numero de caracteres.
Respuesta rapida: Como punto de partida, usa al menos 32 bytes de datos aleatorios. La entropia y la imprevisibilidad importan mas que el numero bruto de caracteres.
Referencia practica
Para la mayoria de configuraciones JWT basadas en HMAC, 32 bytes aleatorios son un valor por defecto solido. Si quieres mas margen y tu stack lo permite, 64 bytes tambien estan bien. Lo clave es que el secreto venga de una fuente de aleatoriedad criptograficamente segura.
openssl rand -base64 32Por que los secretos cortos son arriesgados
Los secretos cortos o basados en palabras son mas faciles de adivinar o forzar por fuerza bruta. Evita palabras de diccionario, cadenas con patrones y valores reutilizados.
- Evita secretos hechos solo con palabras de diccionario
- No incluyas nombres ni fechas
- No reutilices el mismo secreto en sistemas no relacionados
Consejos operativos
Manten secretos separados para desarrollo, staging y produccion, y prepara la rotacion antes de necesitarla. Si los JWT viven mucho tiempo, un procedimiento claro de rotacion importa tanto como la longitud del secreto.
Ver todas las guias
Abre la pagina completa de guias para comparar articulos y saltar a otro tema.