JWT Decoder
Decodifica e inspecciona JSON Web Tokens (JWT) para ver el algoritmo de su encabezado, los claims de la carga útil y los tiempos de expiración. Esencial para depurar flujos de autenticación de OAuth 2.0, OpenID Connect y API. Esta herramienta solo decodifica — no se realiza verificación de firma. Todo el procesamiento ocurre en tu navegador para completa seguridad.
JWT Decoder
Pega un JSON Web Token para decodificar su encabezado y carga útil. No se realiza verificación de firma.
Cómo Funciona
Un JSON Web Token consta de tres partes separadas por puntos: header.payload.signature. El encabezado especifica el algoritmo de firma (ej., HS256, RS256). La carga útil contiene claims — pares clave-valor con información como ID de usuario (sub), tiempo de expiración (exp), emisor (iss) y datos personalizados.
Tanto el encabezado como la carga útil son objetos JSON codificados en Base64URL. Este decodificador extrae y analiza estas partes, convirtiendo Base64URL de vuelta a JSON legible. La firma (tercera parte) se usa para verificación pero no es validada por esta herramienta.
Claims JWT Comunes
| Claim | Nombre | Descripción |
|---|---|---|
| iss | Emisor | Quién emitió el token |
| sub | Sujeto | A quién se refiere el token (generalmente ID de usuario) |
| aud | Audiencia | Destinatario previsto del token |
| exp | Expiración | Marca de tiempo Unix cuando expira el token |
| iat | Emitido En | Marca de tiempo Unix cuando se emitió el token |
| nbf | No Antes De | El token no es válido antes de este momento |
Casos de Uso Comunes
- Depuración de autenticación: Inspecciona el contenido del token para resolver problemas de inicio de sesión, sesiones expiradas o permisos faltantes.
- Desarrollo de API: Verifica que tu servidor de autenticación incluya los claims correctos en los tokens emitidos.
- Auditoría de seguridad: Comprueba qué datos están expuestos en los JWTs (recuerda, la carga útil no está cifrada, solo firmada).
- Aprender OAuth 2.0: Entiende la estructura y contenido de los tokens usados en flujos de OAuth y OpenID Connect.
Preguntas Frecuentes
¿Qué es un JWT?
Un formato de token compacto y seguro para URL definido en RFC 7519 usado para transmitir claims de forma segura entre partes, comúnmente usado para autenticación y autorización en aplicaciones web.
¿Es seguro decodificar JWTs en el navegador?
Sí. Las cargas útiles de JWT no están cifradas — solo están codificadas en Base64. Cualquiera con el token puede leer la carga útil. La firma previene la manipulación pero no oculta el contenido.
¿Esta herramienta verifica la firma?
No. Esta herramienta solo decodifica el encabezado y la carga útil para inspección. La verificación de firma requiere la clave secreta o clave pública, que nunca debería compartirse en una herramienta del navegador.
¿Qué es la codificación Base64URL?
Una variante de Base64 que usa - en lugar de + y _ en lugar de /, y omite el relleno (=). Esto hace que la cadena codificada sea segura para usar en URLs y encabezados HTTP.
Herramientas Relacionadas
Conversor de Texto Base64
Codifica texto a Base64 o decodifica Base64 de vuelta a texto legible.
Codificador y Decodificador URL
Codifica y decodifica componentes URL de forma segura.
Codificador de Entidades HTML
Escapa y desescapa caracteres especiales de HTML.
Generador de Hash
Genera hashes MD5, SHA-1, SHA-256 y SHA-512.