Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Descripción de los tokens web JSON para grupos de usuarios (JWTs) Los tokens son artefactos de autenticación que sus aplicaciones pueden usar como prueba de la autenticación OIDC y para solicitar acceso a los recursos. Las *reclamaciones* que aparecen en los tokens son información sobre su usuario. El token de ID contiene reclamaciones sobre la identidad, como el nombre de usuario, apellido y dirección de correo electrónico. El token de acceso contiene afirmaciones como las `scope` que el usuario autenticado puede utilizar para acceder a operaciones de API de autoservicio de usuarios de Amazon Cognito de terceros APIs y la. [El punto de conexión userInfo](userinfo-endpoint.md) Los tokens de ID y acceso como un reclamación `cognito:groups` que contiene la pertenencia del grupo del usuario en el grupo de usuarios. Para obtener más información acerca de los conjuntos de grupos de usuarios, consulte [Agregar grupos a un grupo de usuarios](cognito-user-pools-user-groups.md). Amazon Cognito también tiene tokens de actualización que puede utilizar para obtener nuevos tokens o revocar los existentes. [Actualice un token](amazon-cognito-user-pools-using-the-refresh-token.md) para recuperar un ID nuevo y tokens de acceso. [Revoque un token](amazon-cognito-user-pools-using-the-refresh-token.md#amazon-cognito-identity-user-pools-revoking-all-tokens-for-user) para denegar el acceso del usuario admitido por los tokens de actualización. Amazon Cognito emite tokens como cadenas codificadas en [base64url](https://datatracker.ietf.org/doc/html/rfc4648#section-5). Puede descodificar cualquier ID de Amazon Cognito o token de acceso de `base64url` a JSON de texto sin formato. Los tokens de actualización de Amazon Cognito están cifrados, son opacos para los usuarios y administradores de grupos de usuarios y solo los puede leer el grupo de usuarios. **Autenticación con tokens** Cuando un usuario inicia sesión en su aplicación, Amazon Cognito verifica la información de inicio de sesión. Si el inicio de sesión es correcto, Amazon Cognito crea una sesión y devuelve un token de ID, un token de acceso y un token de actualización para el usuario autenticado. Puede utilizar los tokens para conceder a sus usuarios acceso a recursos descendentes, APIs como Amazon API Gateway. O bien, puede intercambiarlos por credenciales temporales de AWS para acceder a otros Servicios de AWS. ![Información general sobre la autenticación](http://docs.aws.amazon.com/es_es/cognito/latest/developerguide/images/scenario-authentication-cup2.png) **Almacenamiento de tokens** La aplicación debe poder almacenar tokens de distintos tamaños. El tamaño del token puede cambiar por diferentes motivos, entre los que se incluyen notificaciones adicionales, cambios en los algoritmos de codificación y cambios en los algoritmos de cifrado. Cuando habilita la revocación de tokens en el grupo de usuarios, Amazon Cognito agrega reclamaciones adicionales a los JSON Web Tokens, lo que aumenta su tamaño. Las nuevas notificaciones `origin_jti` y `jti` se agregan a los tokens de acceso e ID. Para obtener más información acerca de la revocación de tokens, consulte [Revocación de tokens](https://docs.aws.amazon.com/cognito/latest/developerguide/token-revocation.html). **importante** Como práctica recomendada, asegure todos los tokens en tránsito y el almacenamiento en el contexto de la aplicación. Los tokens pueden contener información de identificación personal acerca de los usuarios e información sobre el modelo de seguridad que utiliza para el grupo de usuarios. **Personalización de tokens** Puede personalizar los tokens de acceso e ID que Amazon Cognito transfiere a la aplicación. En [Desencadenador de Lambda anterior a la generación del token](user-pool-lambda-pre-token-generation.md), puede agregar, modificar y suprimir las reclamaciones de tokens. El desencadenador previo a la generación del token es una función de Lambda a la que Amazon Cognito envía un conjunto predeterminado de reclamaciones. Las afirmaciones incluyen los ámbitos OAuth 2.0, la pertenencia a grupos de usuarios y los atributos de los usuarios, entre otros. Luego, la función puede aprovechar la oportunidad para realizar cambios en tiempo de ejecución y devolver las reclamaciones de token actualizadas a Amazon Cognito. El acceso a la personalización del token con los eventos de la versión 2 conlleva costos adicionales. Para obtener más información, consulte [Precios de Amazon Cognito](https://aws.amazon.com/cognito/pricing/). **Topics** + [Descripción del token de identidad (ID)](amazon-cognito-user-pools-using-the-id-token.md) + [Descripción del token de acceso](amazon-cognito-user-pools-using-the-access-token.md) + [Tokens de actualización](amazon-cognito-user-pools-using-the-refresh-token.md) + [Finalización de las sesiones de usuario con la revocación del token](token-revocation.md) + [Verificación de tokens web JSON](amazon-cognito-user-pools-using-tokens-verifying-a-jwt.md) + [Administración de la caducidad y el almacenamiento en caché de los tokens del grupo de usuarios](amazon-cognito-user-pools-using-tokens-caching-tokens.md)