Documentation Index

Fetch the complete documentation index at: https://docs.document360.com/llms.txt

Use this file to discover all available pages before exploring further.

Descargo de responsabilidad: Este artículo se generó mediante traducción automática.

JWT

Prev Next

JSON Web Token (JWT) es un formato de token cifrado que transfiere de forma segura los datos de autenticación y autorización entre dos aplicaciones. En Document360, JWT se utiliza para autenticar los inicios de sesión de los lectores en tu sitio de base de conocimiento.

Document360 utiliza un enfoque similar al PKCE (Proof Key for Code Exchange, un método OAuth seguro) para generar el token JWT.

Flowchart illustrating user login process for accessing knowledge base content securely.

¿Cuándo NO usar JWT

JWT no es la elección adecuada si:

  • Tu organización ya utiliza un Proveedor de Identidad centralizado (Okta, Microsoft Entra, Google Workspace) y quiere que los lectores se autentiquen a través de él. Usa SAML o OpenID Connect en su lugar. Para ello, lee Inicio de sesión único (SSO).
  • Necesitas funciones como lectores SSO de registro automático, auto-registro del lector o saltarte la página común de inicio de sesión de Document360. Estas funciones no son compatibles con JWT.
  • Necesitas autenticación de usuario (portal). JWT solo soporta autenticación por lectores en el sitio de la base de conocimiento.

JWT vs SAML vs OpenID Connect

Característica JWT SAML / OpenID Connect
Gestión de lectores Los lectores están autenticados desde tu propia aplicación. No es necesario crear ni gestionar cuentas de lector en Document360. Los lectores se gestionan a través del Proveedor de Identidad (IdP) de tu organización, como Okta, Azure AD o Google Workspace.
Destino de inicio de sesión Siempre redirige a la base de conocimientos. Los usuarios no pueden acceder al portal Document360 a través de JWT. Puede soportar tanto el inicio de sesión del lector como del equipo, dependiendo de la configuración.
Cuándo usar Ideal si no tienes un IDP o prefieres gestionar la autenticación en tu propia aplicación. Recomendado si tu organización ya usa un IdP y quiere autenticación centralizada y control de acceso.
Flujo de registro de usuarios Controlas el inicio de sesión y el aprovisionamiento de usuarios en tu propia app. Puede soportar autoregistro, restablecimiento de contraseñas y gestión del ciclo de vida del usuario dependiendo del IDP.
Página de inicio de sesión SSO Defines la URL de Inicio de sesión y, opcionalmente, la URL de Cerrar sesión en la configuración de JWT. La página de inicio de sesión la gestiona el IDP, y las redirecciones se gestionan mediante la configuración de SAML o OpenID.
Características avanzadas No soportado: registro automático de lectores SSO, saltarse la página de inicio de sesión de Document360, auto-registro del lector. Disponible según las capacidades del IDP.
Implementación Configuración más sencilla para los desarrolladores. Generas el JWT, lo firmas usando un secreto de cliente creado en Document360 y gestionas la autenticación en tu app. Requiere la configuración de metadatos IdP, certificados y mapeos con Document360.

Cómo funciona la autenticación JWT

El diagrama siguiente muestra el flujo completo de autenticación JWT entre tu aplicación, el servidor de identidad Document360 y el sitio de la base de conocimiento.

Flowchart illustrating user authentication process with Document360 Identity Server and Customer App.

Terminología clave

Término Descripción
URL de inicio de sesión Una página pública de inicio de sesión en tu aplicación donde los usuarios son redirigidos para autenticarse.
URL de generación de código Un endpoint backend seguro en tu app que envía datos de usuario a Document360 para obtener un código de autorización.
URL de devolución de llamada La URL en Document360 donde tu app redirige al usuario tras recibir el código de autorización. Esto se genera automáticamente por Document360.

Flujo de autenticación

  1. El usuario accede a la base de conocimiento privada. Document360 detecta que JWT SSO está activado y redirige al usuario a la URL de inicio de sesión configurada en la configuración de JWT.
  2. El usuario inicia sesión en tu aplicación. Si el usuario no está ya autenticado, tu página de inicio de sesión se encarga de su autenticación.
  3. Tu backend solicita un código de autenticación de un solo uso. Tu backend envía una POST solicitud a la URL de generación de código con la identidad del usuario, opcional readerGroupIds, y tokenValidity en minutos. Esta solicitud debe estar autorizada usando HTTP Basic Auth con tu ID de cliente y secreto del cliente.

Cabecera de autorización de ejemplo

Authorization: Basic Base64Encode(clientId:clientSecret)

Ejemplo de carga útil JSON

{
  "username": "firstname + lastname",
  "firstName": "firstname",
  "lastName": "lastname",
  "emailId": "user email",
  "readerGroupIds": ["Obtain from Reader groups overview page in the Document360 portal (Optional)"],
  "tokenValidity": 15
}

NOTA

Asegúrate de que la sintaxis JSON sea correcta para evitar errores de configuración.

  1. El servidor de identidad de Document360 devuelve un código de autenticación. Si la solicitud es válida, el servidor de identidad de Document360 genera un código de autorización de un solo uso y lo envía de vuelta a tu backend.
  2. Tu aplicación redirige al usuario de vuelta a Document360. Tu backend añade el código a la URL de Callback y redirige al usuario hacia ella. Por ejemplo: https://yourproject.document360.io/jwt/authorize?code=xyz

NOTA

El código de autenticación es un código de un solo uso y no puede reutilizarse.

  1. Document360 valida el código. Document360 lo envía al servidor de identidad a través de un canal de retorno para intercambiarlo por un token JWT.
  2. Se crea la sesión de lectura. Document360 extrae información del usuario y reglas de acceso basadas en readerGroupIds el token. Se crea una sesión para el lector, dándole acceso a las categorías, idiomas o versiones permitidas.

Validez del token y comportamiento de la sesión

  • Puedes definir la duración de la sesión usando el tokenValidity campo de la carga útil (mínimo: 5 minutos, máximo: 1440 minutos).
  • Una vez que el token expira, el lector es redirigido de nuevo a tu URL de inicio de sesión.
  • Si el usuario sigue autenticado en tu app, se genera un nuevo código y la sesión se restablece sin problemas.

Empieza con JWT

Artículo Descripción
Configurar JWT en Document360 Crea tu configuración de JWT, configura la configuración de inicio de sesión a nivel de proyecto y genera tus tokens secretos.
Implementa JWT en tu aplicación Configura la lógica de redirección del backend con ejemplos de código en C#, Node.js y Java.
Prueba tu configuración de JWT Verifica tu configuración usando cURL o Postman antes de lanzarla.
Gestión de configuraciones JWT Habilitar, desactivar, eliminar y gestionar la rotación de tokens, el enrutamiento de dominios, los estados de las páginas de inicio de sesión y los registros de auditoría.
Grupos de lectores de JWT Controla a qué contenido pueden acceder los lectores asignándolos a grupos de lectores a través de JWT.
Configura JWT para el widget de la base de conocimiento Configura la autenticación JWT para tu widget de base de conocimiento incrustado.
JWT para el chatbot de IA Asegura el acceso a tu chatbot de IA usando autenticación JWT.

PROPINA

Si configuras JWT por primera vez, completa los pasos en orden: Configurar JWT en Document360 → Implementar JWT en tu aplicación → Probar tu configuración de JWT.


Preguntas frecuentes

Si un usuario de JWT cierra sesión en la aplicación cliente, ¿también está cerrado de sesión en Document360?

No. La sesión en Document360 es independiente tras el inicio de sesión inicial. Los usuarios pueden seguir usando Document360 hasta que expire la validez del token, incluso después de cerrar sesión en la aplicación cliente. Por ejemplo, si la validez del token se establece en 1 día, la sesión de Document360 permanecerá activa hasta que el token expire.

¿Puedo proporcionar un valor de validez de token fuera del rango permitido?

No. Si se proporciona un valor fuera del rango, el sistema asigna automáticamente el valor permitido más cercano: 5 minutos para valores por debajo del mínimo y 1440 minutos para valores por encima del máximo.

¿Cuál es la diferencia entre JWT y SSO?

Puedes ver una comparación entre JWT (JSON Web Token) y SSO (Single Sign-On) en la tabla siguiente:

Categoría JWT (Token web JSON) SSO (Inicio de sesión único)
Autenticación Tokens generados por sesión o solicitud del usuario. Autenticación centralizada entre aplicaciones.
Expiración del token Los tokens suelen expirar tras un periodo determinado. Sin ficha; Sesión gestionada por el proveedor de identidad.
Seguridad Requiere almacenamiento seguro de tokens. Más seguro; almacenamiento centralizado de credenciales.
Uso Usado para autenticación sin estado y de un solo uso. Se usa para varias aplicaciones con un solo inicio de sesión.
Integración Más fácil de implementar en aplicaciones personalizadas. Requiere integración con un proveedor de identidad.

¿Pueden JWT y SSO (SAML u OpenID Connect) estar activos simultáneamente?

Sí. Las configuraciones JWT y SSO pueden coexistir en el mismo proyecto sin conflicto. Cada tipo se gestiona de forma independiente. Los cambios en uno no afectan al otro.

¿Qué debería hacer si se pierden fichas secretas?

Los tokens secretos se muestran solo una vez en el momento de la creación de la configuración. Si se pierde, navega al modal Editar configuración y haz clic en Generar para el token correspondiente. La regeneración invalida inmediatamente el token existente. Actualiza tu aplicación con el nuevo token sin demora para evitar fallos de autenticación.