Decodificador JWT

Tendencia 🔥

Decodificar e inspeccionar tokens JWT

Cómo usar Decodificador JWT

  1. 1Pega tu token JWT
  2. 2Ve el encabezado y la carga útil decodificados instantáneamente
  3. 3Verifica la expiración y otros claims

Acerca de Decodificador JWT

JWT Decoder decodifica instantáneamente los JSON Web Tokens (JWT) y muestra las partes de encabezado, carga útil y firma en un formato claro y legible. Los JWT son el formato de token de autenticación dominante usado por APIs REST, servicios OAuth 2.0 y sistemas de inicio de sesión único (SSO).

Pega cualquier cadena JWT y la herramienta muestra inmediatamente el algoritmo en el encabezado, los claims en la carga útil (incluyendo tiempo de expiración, emisor, sujeto y claims personalizados), y la firma sin procesar. El tiempo de expiración se muestra como una fecha legible.

Toda la decodificación se ejecuta completamente en tu navegador usando decodificación Base64URL — ningún dato se envía a ningún servidor.

Características principales de Decodificador JWT

  • Decodificar cualquier JWT y mostrar encabezado, carga útil y firma
  • Muestra el algoritmo de firma del encabezado (HS256, RS256, etc.)
  • Muestra expiración (exp), emitido-en (iat) y no-antes-de (nbf) como fechas legibles
  • Resalta tokens expirados con una advertencia visual clara
  • Salida JSON con formato para encabezado y carga útil
  • Funciona completamente en el navegador — tu token nunca se transmite
  • Admite todas las estructuras JWT estándar incluyendo JWT anidados
  • Copia con un clic de la carga útil decodificada completa

Ejemplos

Inspeccionar claims en un token de acceso OAuth 2.0

Ver el sujeto, alcances y expiración de un token devuelto por un servidor de autorización OAuth.

Entrada

eyJhbGciOiJSUzI1NiJ9.eyJzdWIiOiJ1c2VyMTIzIiwic2NvcGUiOiJyZWFkIiwiZXhwIjoxNzAwMDAwMDAwfQ.signature

Salida

Encabezado: {"alg":"RS256"} | Carga útil: {"sub":"user123","scope":"read","exp":"2023-11-14T22:13:20Z"}

Comprobar si un token de sesión ha expirado

Determinar si un JWT de una sesión de usuario sigue siendo válido inspeccionando su claim exp.

Entrada

Un JWT con un claim exp configurado a una fecha pasada

Salida

Token expirado el 2025-01-01 00:00:00 UTC — resaltado en rojo

Casos de uso comunes

  • Inspección de tokens de acceso OAuth 2.0 para verificar alcances y expiración
  • Depuración de fallos de autenticación verificando claims JWT contra requisitos de API
  • Verificación de la estructura y algoritmo del token al integrar un nuevo proveedor de identidad
  • Verificación del sujeto (sub) y emisor (iss) de tokens entrantes en logs de API
  • Enseñanza de estructura JWT y claims en formaciones de seguridad
  • Comprobación rápida de si un token ha expirado

Solución de problemas

Token inválido — el token no es un JWT

Solución

Un JWT debe tener exactamente tres secciones separadas por puntos (encabezado.carga_útil.firma). Asegúrate de pegar la cadena de token completa.

La carga útil muestra caracteres ilegibles

Solución

Las secciones JWT están codificadas en Base64URL. El decodificador lo maneja automáticamente. Si la salida es ilegible, asegúrate de que el token esté completo y no modificado.

No se puede determinar si el token es válido (auténtico)

Solución

La decodificación muestra los claims pero no verifica la firma. La verificación de firma requiere la clave de firma. Usa la biblioteca JWT de tu aplicación para verificar en el servidor.

Preguntas frecuentes

¿Mi token JWT está seguro al usar esta herramienta?

Sí. Toda la decodificación ocurre localmente en tu navegador usando JavaScript. Tu JWT nunca se envía a ningún servidor, ni se almacena ni se registra.

¿Puede verificar firmas JWT?

No. La verificación de firma requiere la clave secreta o la clave pública. Esta herramienta solo decodifica y muestra el encabezado y la carga útil.

¿Qué es un JWT?

Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL que codifica un conjunto de claims como objeto JSON. Consta de tres partes codificadas en Base64URL: un encabezado (algoritmo), una carga útil (claims) y una firma.

¿Qué claims debo buscar en un JWT?

Los claims estándar clave incluyen: sub (sujeto/ID de usuario), iss (emisor), aud (audiencia), exp (tiempo de expiración), iat (emitido en) y nbf (no antes de).

¿Cómo puedo saber si un JWT ha expirado?

El claim exp contiene una marca de tiempo Unix que representa cuándo expira el token. Esta herramienta lo convierte a una fecha legible y resalta los tokens expirados.

¿Cuál es la diferencia entre HS256 y RS256?

HS256 usa una clave secreta compartida. RS256 usa una clave privada para firmar y una clave pública para verificar — adecuado para sistemas distribuidos.

¿Puedo decodificar un JWT sin una biblioteca?

Sí. Un JWT son solo tres cadenas JSON codificadas en Base64URL separadas por puntos. Esta herramienta automatiza exactamente ese proceso.

¿Debería pegar tokens de producción en herramientas en línea?

Esta herramienta procesa tokens localmente en tu navegador, por lo que no se transmiten a ningún lugar. Para tokens de producción sensibles en entornos de alta seguridad, considera usar una versión ejecutada localmente.