Get your free and exclusive +30-page Authentication Analytics Whitepaper
Volver al resumen

JWKS: Conjuntos de claves JSON Web para autenticación

Aprende sobre los JWKS (JSON Web Key Sets), su papel en la verificación de JWT, la diferencia entre JWK y JWKS, y cómo facilitan la rotación de claves y la seguridad.

Vincent Delitz
Vincent Delitz

Creado: 29 de octubre de 2023

Actualizado: 16 de junio de 2026

What is a JSON Web Key Set (JWKS)?- A JSON Web Key Set (JWKS) is a collection of public cryptographic keys used to verify the authenticity and integrity of tokens, specifically JWTs.

Esta página se tradujo automáticamente. Lee la versión original en inglés aquí.

¿Qué es un conjunto de claves web JSON (JWKS)?#

Un conjunto de claves web JSON (JWKS, por sus siglas en inglés) es una colección de claves criptográficas públicas que se utilizan para verificar la autenticidad e integridad de los tokens, específicamente los JWT. Están estructurados en un formato dinámico:

  • Flexibilidad: Ofrece una forma de evitar las claves codificadas (hardcoded) y la gestión manual de claves.
  • Acceso dinámico: Actúa como un repositorio público, permitiendo una fácil recuperación y rotación.
  • Integración con JWT: Desempeña un papel crucial en el proceso de autenticación JWT, garantizando que los tokens sean válidos y fiables.

Puntos clave#
  • Un conjunto de claves web JSON (JWKS) es una colección dinámica de claves criptográficas públicas.
  • Proporciona una alternativa flexible a las claves codificadas (hardcoded) o gestionadas manualmente.
  • Permite una fácil rotación de claves y escalabilidad para plataformas en crecimiento.
  • Promueve la interoperabilidad con una representación estandarizada.

La importancia de los JWKS en la autenticación moderna:#

Con el aumento de las preocupaciones sobre seguridad y la necesidad de procesos de autenticación fluidos, los JWKS se han vuelto cada vez más vitales. Profundicemos en su importancia:

  • Rotación y revocación: Las claves, especialmente en la autenticación, tienen una vida útil. Deben ser reemplazadas o rotadas periódicamente para mantener la seguridad. Los JWKS facilitan esto al permitir que se añadan nuevas claves mientras se retiran las antiguas.
  • Escalabilidad para plataformas en evolución: A medida que un sistema crece, el número de claves necesarias puede aumentar. Por ejemplo, aunque al principio baste con una sola clave para la autenticación de usuarios, al expandirse, se pueden necesitar claves diferentes para otros procesos, como la comunicación entre servicios. Los JWKS ofrecen una solución escalable, garantizando que el sistema de gestión de claves crezca con la plataforma.
  • Interoperabilidad para una integración fluida: En el mundo tecnológico, diferentes sistemas necesitan comunicarse e integrarse sin problemas. Los JWKS, al ser una representación estandarizada de claves criptográficas, garantizan esta interacción fluida. Ya sea entre diferentes departamentos de una organización o entre empresas distintas, tener una representación de claves coherente y estandarizada es muy valioso.

Preguntas frecuentes sobre JWKS#

¿Cómo se relacionan los JWKS con los JWT?#

Los JWKS se utilizan principalmente para verificar los JWT. Garantizan que los JWT son auténticos y no han sido manipulados, proporcionando para ello las claves públicas necesarias.

¿Cuál es la diferencia entre JWK y JWKS?#

Mientras que un JWK (JSON Web Key) representa una única clave criptográfica, un JWKS es un conjunto o colección de estas claves, normalmente disponible a través de un endpoint conocido.

¿Cómo mejoran los JWKS la seguridad del sistema?#

Al permitir la rotación dinámica de claves y no requerir claves codificadas (hardcoded) o gestionadas manualmente, los JWKS garantizan que las claves antiguas o comprometidas puedan ser reemplazadas rápidamente sin cambios significativos en el sistema. Este dinamismo reduce las vulnerabilidades y las posibles brechas de seguridad.

¿Por qué es importante la estructura «well-known» en los JWKS?#

La estructura «well-known» estandariza dónde se pueden encontrar los JWKS, facilitando que los sistemas recuperen y actualicen sus conjuntos de claves, lo que promueve integraciones más fluidas y seguras.

Corbado

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys

Mira cómo Corbado encaja con tu despliegue de passkeys y tu stack de autenticación actual.

Explorar la Console

Compartir este artículo

LinkedInTwitterFacebook

Tabla de contenidos

Términos relacionados

Artículos relacionados

Passkeys vs. Passwordless vs. Phishing-Resistant MFA

Passkeys vs. Passwordless vs. Phishing-Resistant MFA

Alex - 7 de enero de 2025

Passkeys vs. 2FA: Why Passkeys are More Secure than Regular 2FA

Passkeys vs. 2FA: Why Passkeys are More Secure than Regular 2FA

Daniel - 5 de septiembre de 2023

WebAuthn pubKeyCredParams & credentialPublicKey: CBOR & COSE

WebAuthn pubKeyCredParams & credentialPublicKey: CBOR & COSE

Vincent Delitz - 2 de mayo de 2024

Will Passkeys Kill Password Managers?

Will Passkeys Kill Password Managers?

Niclas - 1 de junio de 2023

WebAuthn Transports: Internal and Hybrid Transport

WebAuthn Transports: Internal and Hybrid Transport

Vincent Delitz - 30 de octubre de 2025