JWT (JSON Web Token)

Un JSON Web Token (JWT) es un token compacto, codificado en base64-URL, que transporta datos de identidad (ID de usuario, nivel de suscripción, caducidad, alcance) firmados por tu servidor de autenticación. Para un sistema de comentarios, JWT es el formato que Logora espera al integrarse con tu cuenta de lector o tu sistema de muro de pago.

Lo que Logora valida en cada JWT

• Algoritmo de firma : RS256 / ES256 (asimétrico) por defecto. HS256 es compatible pero no se recomienda.
• La firma en sí : contra la clave pública de tu IdP (descargada una vez y almacenada en caché).
• Emisor (iss) : debe coincidir con el IdP que registraste.
• Audiencia (aud) : debe coincidir con tu ID de cliente de Logora.
• Caducidad (exp) : los tokens que han superado su caducidad se rechazan.
• Datos personalizados opcionales : nivel de suscripción, nivel del muro de pago, puntos de gamificación, usados para restringir el acceso a debates premium y mostrar insignias.

Cierre de sesión por backchannel (lanzamiento de abril de 2026)

Cuando un lector cierra la sesión en tu sitio principal, tu IdP puede llamar al endpoint de backchannel de Logora para invalidar la sesión activa en el widget de comentarios. Sin sesiones obsoletas, sin los incómodos casos de “cerré la sesión pero sigo aquí”. Conforme a los estándares (OpenID Connect Back-Channel Logout 1.0).

Errores frecuentes

• Desfase de reloj entre el servidor de tu IdP y el de Logora, resuelto con una tolerancia de 30 s en exp e iat.
• Tokens de actualización para sesiones de lectura de larga duración : se recomienda una vida útil de 15-30 min.
• Nomenclatura de los datos personalizados : prefiere datos con espacio de nombres (https://logora.com/subscription-tier) en lugar de nombres genéricos que podrían entrar en conflicto.

Consulta SSO y OAuth 2.0 / OIDC para conocer el contexto más amplio.