Olcas

Decodificar JWT

Decodifica un token JWT y consulta su cabecera y su contenido en JSON legible, con las fechas interpretadas. Sin verificar la firma y 100 % en tu navegador.
Procesamiento 100 % local · tus archivos no salen de tu navegador
Publicidad
Cabecera
{
  "alg": "HS256",
  "typ": "JWT"
}
Contenido (payload)
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}
Emitido (iat): 18/1/2018, 2:30:22

La firma no se verifica: esta herramienta solo decodifica el contenido, que en un JWT va codificado (no cifrado). Nunca pegues tokens de producción con datos sensibles.

Procesamiento 100 % local · tu token nunca sale de tu navegador

Inspecciona cualquier token JWT

Los JSON Web Tokens (JWT) son omnipresentes en la autenticación web moderna: los usan APIs, aplicaciones móviles y sistemas de inicio de sesión. Cuando depuras un problema de autenticación, a menudo necesitas ver qué hay dentro del token: qué algoritmo usa, qué datos contiene y cuándo caduca. Esta herramienta decodifica esas partes al instante, sin enviar el token a ningún servidor.

Las tres partes de un JWT

  • Cabecera: indica el tipo de token y el algoritmo de firma (por ejemplo, HS256).
  • Contenido (payload): los datos o «claims», como el usuario, los permisos o las fechas de validez.
  • Firma: garantiza que el token no se ha modificado. Se verifica en el servidor con una clave secreta.
Publicidad

Codificado no es cifrado

Es un malentendido muy común: el contenido de un JWT no está cifrado, solo codificado en Base64URL. Eso significa que cualquiera que tenga el token puede leer su payload (esta herramienta lo demuestra). La firma no oculta los datos, solo certifica que no han sido alterados. La consecuencia práctica es clara: nunca guardes contraseñas ni datos sensibles dentro de un JWT.

Publicidad

Herramientas relacionadas

Como el JWT se apoya en Base64, te pueden interesar el codificador Base64, el formateador de JSON y el generador de hash. Más en herramientas de archivos.

Preguntas frecuentes

¿Qué es un JWT?

Un JSON Web Token es un formato para transportar información (claims) entre dos partes, muy usado para autenticación. Se compone de tres partes separadas por puntos: cabecera, contenido (payload) y firma.

¿El contenido de un JWT está cifrado?

No. Por defecto está codificado en Base64URL, no cifrado. Cualquiera puede leer su contenido; la firma solo garantiza que no se ha manipulado. Por eso nunca debes guardar datos sensibles en un JWT.

¿Verifica la firma?

No. Esta herramienta solo decodifica la cabecera y el payload para que puedas inspeccionarlos. Verificar la firma requiere la clave secreta, que debe permanecer siempre en el servidor.

¿Es seguro pegar aquí mi token?

La decodificación ocurre por completo en tu navegador y nada se envía a ningún servidor. Aun así, por prudencia, evita pegar tokens de producción con datos sensibles.

¿Qué significan iat, exp y nbf?

Son marcas de tiempo: iat es cuándo se emitió el token, exp cuándo caduca y nbf desde cuándo es válido. La herramienta las interpreta y te muestra la fecha legible.

Herramientas relacionadas

Codificar y decodificar Base64

Convierte texto a Base64 y de Base64 a texto.

Formatear JSON

Formatea, valida y minifica código JSON.

Generador de hash (SHA)

Calcula el hash SHA-256, SHA-1 y SHA-512 de un texto.

Ver todas las herramientas
Publicidad