Decodificador / Inspector / Validador de JWT
Decodifica, inspecciona y verifica tokens JWT — header, payload, claims y firmas HMAC. Todo se procesa en tu navegador
| Claim | Valor | Significado | Status |
|---|
Verificación de firma RSA y EC
La verificación de firma RSA y EC requiere importar claves públicas a través de la Web Crypto API. Esta función está prevista para una actualización futura.
Para tokens basados en HMAC (HS256, HS384, HS512), la verificación completa de firma está disponible ahora usando la opción Secreto HMAC.
Verificación de firma RSA y EC
La verificación de firma RSA y EC requiere importar claves públicas a través de la Web Crypto API. Esta función está prevista para una actualización futura.
Para tokens basados en HMAC (HS256, HS384, HS512), la verificación completa de firma está disponible ahora usando la opción Secreto HMAC.
¿Qué es un JWT?
Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL para transmitir información de forma segura entre partes. Consiste en tres partes codificadas en Base64URL separadas por puntos.
Header
El header contiene típicamente dos campos: el algoritmo de firma (alg) y el tipo de token (typ).
Payload (Claims)
El payload contiene claims — declaraciones sobre el usuario y metadatos. Los claims estándar incluyen:
| Claim | Nombre | Descripción |
|---|---|---|
iss | Emisor | Quién emitió el token |
sub | Sujeto | De quién trata el token |
aud | Audiencia | Destinatario previsto del token |
exp | Expiración | Cuándo expira el token (marca de tiempo Unix en segundos) |
nbf | No Antes De | El token no es válido antes de esta hora |
iat | Emitido En | Cuándo se creó el token |
jti | JWT ID | Identificador único del token |
Firma
La firma se crea codificando el header y el payload, uniéndolos con un punto y firmando con el algoritmo especificado en el header.
base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret
)
Conceptos Erróneos Comunes
Mejores Prácticas de Seguridad
Tips
Decodificar No Significa Confiar
Cualquiera puede decodificar un JWT — Base64URL no es cifrado. Decodificar revela el contenido, pero solo la verificación de firma demuestra que el token no ha sido manipulado.
Comprueba la Expiración Antes de Usar
El claim exp (expiración) es una marca de tiempo Unix en segundos. Siempre comprueba que está en el futuro antes de confiar en un token. Esta herramienta muestra el estado temporal al instante.
alg: none Es un Riesgo de Seguridad
El algoritmo "none" significa que el token no tiene firma. Aceptarlo en producción puede permitir a atacantes falsificar tokens. Siempre rechaza alg: none en tu servidor.
Los JWT No Están Cifrados por Defecto
Los JWT estándar (JWS) solo están firmados, no cifrados. El payload es legible por cualquiera con el token. Nunca almacenes contraseñas, números de tarjeta de crédito u otros secretos en un payload JWT.
Casos de uso comunes
Depuración de API
Pega tokens de acceso de respuestas API para inspeccionar rápidamente claims, comprobar expiración y verificar el emisor sin salir de tu navegador.
Pruebas de Flujo de Autenticación
Decodifica tokens en cada paso de los flujos OAuth2 u OpenID Connect para verificar que los scopes, audiencia y claims correctos están presentes.
Monitoreo de Expiración de Tokens
Comprueba cuándo expiran los tokens para depurar problemas de timeout de sesión. La herramienta muestra diferencias de tiempo legibles como "expira en 14 minutos".
Verificación de Pipeline CI/CD
Verifica que los tokens de servicio a servicio contienen los claims esperados antes de desplegar. Pega tokens de logs del pipeline para inspeccionarlos.
Auditoría de Seguridad
Inspecciona tokens en busca de fugas de datos sensibles (PII en payload), algoritmos débiles (alg: none) o claims de seguridad faltantes (exp, aud, iss).