ES
/
EN
AuthSecurityWebDev

Buenas prácticas en Autenticación: Access vs Refresh Tokens

Aprende a implementar un flujo de autenticación seguro usando tokens y las mejores prácticas de la industria.

La autenticación es el pilar de cualquier API moderna. No se trata solo de dejar entrar al usuario, sino de cómo mantenemos esa sesión segura.

El flujo de tokens

Implementar un sistema de tokens requiere entender el ciclo de vida de cada uno:

  1. Access Token: Corta duración (15 min).
  2. Refresh Token: Larga duración, almacenado en httpOnly cookie.
// Ejemplo de renovación de token
const refreshToken = async (token) => {
  const response = await fetch('/api/refresh', {
    method: 'POST',
    body: JSON.stringify({ token })
  });
  return response.json();
};

Regla de oro: Nunca guardes el Access Token en el LocalStorage si quieres evitar ataques XSS.