# ADR-0003: Access JWT corto y refresh token rotatorio

- Estado: Propuesto
- Fecha: 2026-07-12

## Contexto

El panel web necesita autenticación revocable y la arquitectura solicita JWT. Un JWT largo en local storage eleva el impacto de XSS y no se revoca fácilmente.

## Decisión propuesta

Access JWT asimétrico y corto en cookie `HttpOnly`, `Secure`, `SameSite`; refresh token opaco, rotatorio, almacenado como hash y revocable por familia. Las mutaciones llevan protección CSRF. API keys con scopes se reservan para integraciones servidor a servidor.

## Consecuencias

Se conserva validación distribuible y se limita el robo, a cambio de almacenar sesiones refresh y operar rotación de claves.

