Decodificador JWT — Analizar y Decodificar Tokens JSON Web
Decodifica y analiza JSON Web Tokens (JWT) con nuestro Decodificador JWT. La herramienta separa automáticamente el token en sus tres partes (encabezado, carga útil, firma) y muestra el contenido decodificado en JSON formateado. Reconoce algoritmos comunes como HS256, RS256, ES256 y muestra información de expiración (exp, iat, nbf). Nota: esta herramienta solo decodifica tokens; la verificación de firma requiere la clave secreta. Todas las operaciones se realizan localmente en su navegador.
Características
- Decodifica el encabezado: muestra algoritmo (alg) y tipo de token (typ)
- Extrae la carga útil: visualiza las reclamaciones y datos de usuario
- Comprueba la caducidad: detecta automáticamente si el token expiró
- Resaltado de sintaxis: JSON coloreado para mejorar la lectura
- Visualiza la firma: muestra la firma codificada en Base64URL
- Procesamiento local: toda la lógica se ejecuta en tu navegador
Información de seguridad importante - Decodificar ≠ verificar: esta herramienta solo decodifica el JWT. No verifica la firma.
- No confíes en tokens sin verificar: valida siempre la firma en el servidor antes de usar los datos.
- Datos sensibles: los JWT están codificados en Base64, no cifrados. Cualquiera puede leerlos.
- Claves secretas: nunca pegues claves secretas en herramientas online ni en código del lado cliente.
Para entornos de producción, utiliza bibliotecas especializadas como jsonwebtoken (Node.js), PyJWT (Python) o firebase/php-jwt (PHP).
Estructura de un JWT
Un JWT consta de tres partes codificadas en Base64URL separadas por puntos (.):
Header
Contiene metadatos del token:
alg: algoritmo (HS256, RS256...)typ: tipo de token (JWT)
Payload
Incluye las reclamaciones:
sub: sujeto (ID de usuario)exp: fecha de expiracióniat: fecha de emisión- Reclamaciones personalizadas
Signature
Verifica la integridad del token:
- Firma HMAC o RSA
- Requiere la clave secreta para verificar
- Impide la manipulación
Recursos Útiles