Estima el tamaño de tokens JWT antes de implementar. Compara algoritmos, verifica límites en cookies, encabezados y URLs y optimiza la carga.
Fast symmetric signing with 256-bit hash
Ingresa un objeto JSON válido con tus claims JWT (ej: sub, iat, exp, claims personalizados)
También podrías encontrar útiles estas calculadoras
Evalúa el riesgo de seguridad de configuraciones de alcance OAuth 2.0
Calcula los días hasta que expire tu certificado SSL
Calcula tamaños de clave de cifrado recomendados para estándares de seguridad
Genera hashes MD5, SHA-1, SHA-256, SHA-384 y SHA-512 a partir de texto
Los JSON Web Tokens (JWT) son el estándar de la industria para autenticación y autorización segura. Sin embargo, el tamaño del token impacta el rendimiento, límites de almacenamiento y sobrecarga de red. Nuestra Calculadora de Tamaño de Token JWT te ayuda a estimar tamaños de tokens, comparar algoritmos y optimizar tu carga útil antes de escribir código.
Un JSON Web Token (JWT) es un token compacto y seguro para URL compuesto por tres partes codificadas en Base64URL y separadas por puntos: el encabezado, la carga útil (claims) y la firma. Su tamaño depende sobre todo de la carga útil, porque cada claim personalizado que añades es JSON que se codifica en Base64URL, lo que infla los bytes originales en aproximadamente un 33%. Tamaño total ≈ Base64URL(encabezado) + Base64URL(carga útil) + Base64URL(firma) más dos puntos separadores. La longitud de la firma depende del algoritmo: HS256 genera una firma fija de 32 bytes, mientras que las firmas RS256 son mucho mayores (256 bytes). El tamaño importa porque los JWT suelen enviarse en el encabezado Authorization en cada solicitud, y los tokens excesivos pueden superar los límites de encabezado del servidor o proxy (habitualmente 8 KB).
Un desarrollador comprueba si un JWT almacenado en una cookie se mantiene por debajo de los límites de tamaño de cabecera del navegador y del servidor antes de pasar a producción
Un ingeniero backend estima los bytes que cada token añade a cada solicitud API al planificar el ancho de banda de un servicio de alto tráfico
Un equipo decide qué claims personalizados eliminar tras ver cuánto infla cada campo el token codificado
Un arquitecto compara tamaños de token entre algoritmos de firma para equilibrar la sobrecarga de seguridad frente al costo de transmisión
Los navegadores limitan las cookies a 4KB. JWTs grandes almacenados en cookies pueden causar fallos silenciosos y problemas de autenticación.
Los JWTs se envían con cada solicitud autenticada. Tokens más pequeños significan cargas de página más rápidas y menores costos de ancho de banda.
Las firmas RSA son mucho más grandes que ECDSA o HMAC. Entender las compensaciones te ayuda a elegir sabiamente.
Pasar JWTs en parámetros de URL tiene límites estrictos de longitud (~2000 caracteres). Calcula antes de implementar.
La codificación Base64 convierte datos binarios a texto ASCII usando 64 caracteres. Cada 3 bytes de entrada se convierten en 4 caracteres de salida, resultando en aproximadamente 33% de aumento de tamaño.
Los algoritmos HMAC (HS256, HS384, HS512) producen las firmas más pequeñas (32-64 bytes). ECDSA (ES256) es un buen balance con firmas de 64 bytes y beneficios de clave asimétrica. Las firmas RSA son las más grandes con 256+ bytes.
Incluye solo claims esenciales. Los claims estándar (sub, iat, exp) están bien. Evita almacenar objetos grandes—usa IDs en su lugar y busca datos del lado del servidor. Nunca almacenes datos sensibles como contraseñas.
El encabezado contiene el algoritmo ('alg') y opcionalmente el tipo ('typ'). Incluir 'typ:JWT' añade aproximadamente 15 caracteres al token final. La mayoría de implementaciones lo incluyen por defecto.
Los JWTs no soportan compresión incorporada. Si necesitas tokens más pequeños, considera JWE (JWTs encriptados) con compresión deflate, o simplemente minimiza tus claims. Para datos muy grandes, usa referencias a base de datos en su lugar.
Mantén los tokens bajo 4KB para almacenamiento en cookies, bajo 2KB para parámetros URL, y bajo 8KB para encabezados HTTP. Para mejor rendimiento, apunta a menos de 1KB—esto cubre la mayoría de casos de uso de autenticación.