Saltar al contenido
FileTinker
Todas las herramientas de archivos

Decodificador de JWT

Pega un JSON Web Token para decodificar al instante su encabezado y carga útil y ver cuándo caduca. Solo decodifica y funciona por completo en tu navegador, así que incluso los tokens de producción permanecen privados.

Cómo decodificar un JWT

  1. Pega tu JWT (la cadena encabezado.cargaútil.firma).
  2. Lee el encabezado y la carga útil decodificados como JSON con formato.
  3. Comprueba las horas de caducidad y de emisión, mostradas como fechas legibles.

Acerca de los JSON Web Tokens

Un JSON Web Token (JWT) agrupa tres partes codificadas en base64url y separadas por puntos: un encabezado (el algoritmo de firma y el tipo), una carga útil (las reclamaciones, como el sujeto y la caducidad) y una firma. Decodificar las dos primeras partes revela exactamente qué afirma un token, lo cual resulta muy útil al depurar la autenticación y la autorización.

Esta herramienta solo decodifica: no verifica la firma, porque la verificación requiere el secreto o la clave pública que firmó el token. Recuerda que la carga útil de un JWT está codificada, no cifrada: cualquiera que tenga el token puede leerla, así que nunca pongas secretos en las reclamaciones. La decodificación ocurre localmente aquí, por lo que pegar un token real no lo expone a ningún servidor.

Preguntas frecuentes

¿Esto verifica la firma?

No. Es un decodificador, no un verificador: lee el encabezado y la carga útil, pero no comprueba la firma, lo que requeriría el secreto de firma o la clave pública. Nunca confíes en el contenido de un token sin verificarlo en el servidor.

¿Mi token se envía a algún sitio?

No. La decodificación ocurre por completo en tu navegador, así que tu JWT nunca se sube ni se registra: seguro para inspeccionar tokens reales y sensibles.

¿Un JWT está cifrado?

No. El encabezado y la carga útil están codificados en base64url, no cifrados, así que cualquiera que tenga el token puede leerlos. La firma solo demuestra que el token no fue manipulado; no oculta el contenido.

¿Qué significan exp e iat?

Son reclamaciones de tiempo estándar: iat es cuándo se emitió el token y exp es cuándo caduca, ambas como marcas de tiempo Unix. Esta herramienta las muestra como fechas legibles e indica si el token ha caducado.