El desarrollador Dusan Malusev ha publicado una crítica contundente sobre la seguridad y utilidad de los tokens JWT en aplicaciones modernas. En su análisis, Malusev argumenta que JWT es un "culto de carga" que promete autenticación sin estado pero no lo entrega realmente, resultando en aplicaciones más lentas, menos seguras y difíciles de mantener. El autor destaca que los tokens JWT no pueden ser revocados una vez emitidos, lo que obliga a los sistemas a mantener listas de revocación en la base de datos, contradiciendo el principio de sin estado. Además, el uso de tokens de refresco añade complejidad y estado innecesario, incrementando los costos de procesamiento por solicitud. Malusev indica que la verificación de firmas RSA consume tiempo comparable a consultas de base de datos, haciendo que el ahorro computacional sea falso. Sugiere que para aplicaciones web o móviles, un token opaco simple con validación en Redis es más rápido, seguro y sencillo. Muchos desarrolladores siguen usando JWT basándose en consejos de 2014, ignorando los problemas de mantenimiento y seguridad.
Malusev cuestiona la seguridad de JWT y su utilidad real en desarrollo web
