Decodificador JWT - Decodifica y Verifica JWTs en Tu Navegador

// decodifica JWTs sin enviar datos a un servidor

Solo del lado del cliente — tus datos nunca salen del navegador
Entrada de Token
Suelta el archivo JWT o texto aquí

Cómo Decodificar Tokens JWT

1

Pega Tu Token JWT

Copia tu JSON Web Token y pégalo en el campo de entrada. El decodificador JWT analiza y decodifica automáticamente el token codificado en Base64URL al instante.

2

Ver Claims Decodificados

Inspecciona el encabezado y carga útil del JWT decodificado. Visualiza claims como iss, sub, exp e iat en formato JSON o tabla con marcas de tiempo legibles.

3

Verificar Firma JWT

Ingresa tu clave secreta o clave pública para verificar la firma del token. Soporta algoritmos HS256, HS384, HS512 (HMAC) para validación de firma.

¿Qué es un JSON Web Token (JWT)?

encabezado . carga útil . firma

Un JSON Web Token (JWT) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes como un objeto JSON compacto y seguro para URLs. Los JWTs se utilizan comúnmente para autenticación, autorización e intercambio de información en aplicaciones web modernas, APIs y sistemas de inicio de sesión único (SSO).

encabezado

Contiene el tipo de token y el algoritmo de firma (ej., HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

carga útil

Contiene claims: registrados (iss, exp, sub), públicos y privados.

{"sub": "user123", "exp": 1699999999}

firma

Firma criptográfica que verifica que el token no ha sido alterado.

HMACSHA256(base64(header).base64(payload), secret)

Casos de Uso Comunes de JWT

Autenticación de API

Los JWTs son el estándar para asegurar APIs REST. Después del inicio de sesión, el servidor emite un JWT que el cliente incluye en el encabezado Authorization: Bearer para solicitudes posteriores.

Inicio de Sesión Único (SSO)

Los JWTs permiten autenticación sin interrupciones entre múltiples aplicaciones. Un solo inicio de sesión genera un token que funciona en todos los servicios conectados de tu organización.

Intercambio de Información

Transmite datos de forma segura entre partes. La firma asegura la identidad del remitente y que el mensaje no fue alterado en tránsito.

Autenticación de Apps Móviles

Autenticación sin estado ideal para apps móviles. No se necesitan sesiones del lado del servidor—el JWT contiene toda la información necesaria del usuario.

Preguntas Frecuentes

¿Es seguro usar este decodificador JWT con tokens de producción?

Sí, este decodificador JWT es completamente seguro. Toda la decodificación y verificación ocurre completamente en tu navegador usando JavaScript. Tus tokens y claves secretas nunca se envían a ningún servidor. Puedes verificar esto revisando las solicitudes de red en las herramientas de desarrollador de tu navegador—ningún dato sale de tu dispositivo.

¿Cuál es la diferencia entre decodificar y verificar un JWT?

Decodificar simplemente convierte el encabezado y carga útil codificados en Base64URL de vuelta a JSON legible. Cualquiera puede decodificar un JWT sin una clave. Verificar comprueba la firma criptográfica para asegurar que el token no ha sido alterado y fue emitido por una fuente confiable. La verificación requiere la clave secreta (para HMAC) o la clave pública (para RSA/ECDSA).

¿Qué algoritmos de firma JWT son soportados?

Esta herramienta puede decodificar JWTs firmados con cualquier algoritmo. Para verificación de firma, actualmente soportamos algoritmos HMAC (HS256, HS384, HS512) usando la Web Crypto API. El soporte para verificación RSA (RS256, RS384, RS512) y ECDSA (ES256, ES384, ES512) está planificado.

¿Por qué falla la verificación de firma de mi JWT?

Razones comunes incluyen: 1) Clave secreta incorrecta—asegúrate de usar exactamente la misma clave que firmó el token. 2) Formato incorrecto—intenta alternar entre UTF-8 y Base64 si tu secreto está codificado en Base64. 3) Discrepancia de algoritmo—verifica que el claim alg en el encabezado coincida con tu método de verificación. 4) Token modificado—cualquier cambio en el encabezado o carga útil invalida la firma.

¿Qué significan los claims estándar de JWT?

Claims registrados definidos en RFC 7519:

  • iss (emisor) – Quién emitió el token
  • sub (sujeto) – El usuario o entidad que el token representa
  • aud (audiencia) – Destinatario previsto del token
  • exp (expiración) – Marca de tiempo Unix cuando el token expira
  • nbf (no antes de) – El token no es válido antes de este tiempo
  • iat (emitido en) – Cuándo se creó el token
  • jti (ID JWT) – Identificador único para el token