Decodificador JWT
Inspecciona el Header y el Payload de tu JSON Web Token al instante y de forma segura en tu navegador.
Importante sobre seguridad
• Este decodificador funciona solo en tu navegador. Ningún token se envía a servidores externos.
• Nunca compartas tokens JWT que contengan información sensible.
• Los tokens JWT pueden contener información personal. Úsalos con responsabilidad.
Token JWT
Resultado
Pega un token JWT en el campo de al lado para decodificarlo
Historial de decodificación
Sobre los tokens JWT
¿Qué es JWT?
JWT (JSON Web Token) es un estándar abierto (RFC 7519) que define una forma compacta y autocontenida de transmitir información de manera segura entre partes como un objeto JSON. Esta información puede verificarse y considerarse confiable porque está firmada digitalmente.
Estructura del JWT
Un JWT consta de tres partes separadas por puntos (.):
- Header: contiene el tipo de token y el algoritmo de firma (por ejemplo HS256, RS256).
- Payload: contiene las claims, que son declaraciones sobre una entidad (normalmente el usuario) y metadatos adicionales.
- Signature: se usa para verificar que el remitente del JWT es quien dice ser y para garantizar que el mensaje no fue alterado en el camino.
Claims estándar
| Claim | Descripción |
|---|---|
| iss | Emisor (Issuer) - identifica quién emitió el token. |
| sub | Asunto (Subject) - identifica el sujeto del token, normalmente el usuario. |
| aud | Audiencia (Audience) - identifica los destinatarios para quienes fue emitido el token. |
| exp | Tiempo de expiración (Expiration Time) - timestamp después del cual el token deja de ser válido. |
| nbf | No antes de (Not Before) - timestamp antes del cual el token no es válido. |
| iat | Emitido en (Issued At) - timestamp de cuándo fue emitido el token. |
| jti | ID del JWT (JWT ID) - identificador único del token. |
Seguridad
Importante: este decodificador solo muestra el contenido del token JWT. No verifica la firma ni la validez del token.
Los tokens JWT pueden contener información sensible. Nunca compartas tokens con terceros ni en lugares públicos.
Para verificar la firma de un JWT, necesitas la clave secreta (para algoritmos HMAC) o la clave pública (para algoritmos RSA o ECDSA).
Sobre el Decodificador
Herramienta esencial para depurar autenticación moderna (OAuth, OIDC).
Preguntas Frecuentes
- **¿Guardan mi token o verifican la firma?** No. Todo se ejecuta puramente en el navegador y solo decodificamos la cadena en Base64, sin verificar la firma criptográfica.
Decodificador JWT Avanzado - Herramienta segura que funciona 100% en tu navegador
Úsalo para desarrollo, depuración y aprendizaje sobre autenticación JWT.