Saltar al contenido principal
se usan en la autenticación basada en tokens para almacenar en caché la información del perfil de usuario y proporcionarla a una aplicación cliente, lo que mejora el rendimiento y la experiencia. La aplicación recibe un token de ID después de que un usuario se autentica correctamente; luego lo consume y extrae de él la información del usuario, que puede usar para personalizar su experiencia. Por ejemplo, supongamos que tienes una aplicación web tradicional que registras en Auth0 y configuras para permitir que los usuarios inicien sesión con Google. Una vez que un usuario inicia sesión, usa el token de ID para recopilar información como el nombre y la dirección de correo electrónico, que luego puedes usar para generar y enviar automáticamente un correo electrónico de bienvenida personalizado. Los tokens de ID nunca deben usarse para obtener acceso directo a las API ni para tomar decisiones de autorización.

Seguridad del token de ID

Al igual que con otros JWTs, debe seguir las prácticas recomendadas para el uso de tokens al usar y almacenar tokens de ID.
Asegúrese de validar los tokens de ID antes de usar la información que contienen. Puede usar una biblioteca para facilitar esta tarea.
Proteger las aplicaciones que realizan llamadas a APIs conlleva sus propias consideraciones. Deberá asegurarse de que los tokens y otros datos confidenciales no sean vulnerables a cross-site scripting (XSS) y de que no puedan ser leídos por JavaScript malicioso.

Duración del token de ID

De forma predeterminada, un token de ID es válido durante 36000 segundos (10 horas). Si hay consideraciones de seguridad, puede acortar el tiempo antes de que el token caduque, teniendo en cuenta que uno de los propósitos del token es mejorar la experiencia del usuario almacenando en caché su información. Consulte Actualizar la duración del token de ID para más información.

Más información