Decodificador JWT

Pegue su JSON Web Token (JWT) para decodificar y ver su encabezado y carga útil al instante. Soporta HS256, RS256 y otros algoritmos comunes.

Encabezado

// El encabezado decodificado aparecerá aquí

Carga útil (Payload)

// La carga útil decodificada aparecerá aquí

Guía completa de nuestro decodificador de JSON Web Tokens (JWT)

Bienvenido a nuestro decodificador JWT seguro y en el lado del cliente. Esta herramienta en línea gratuita es una utilidad esencial para cualquier desarrollador, profesional de la seguridad o persona que trabaje con sistemas de autenticación modernos. Le permite decodificar JWT (JSON Web Tokens) al instante e inspeccionar su contenido en un formato limpio y legible por humanos. Simplemente pegue su token en el área de texto y nuestra herramienta analizará el encabezado y la carga útil, mostrándolos como JSON formateado.

La característica más importante de este decodificador JWT en línea es su seguridad. Toda la decodificación y el procesamiento ocurren al 100% dentro de su navegador. Sus tokens nunca se envían a nuestro servidor. Este enfoque en el lado del cliente garantiza que su información confidencial, como tokens de autenticación, claves de API o datos privados de usuario, permanezca completamente privada. Puede depurar cualquier token JWT con total confianza.

¿Qué es un JSON Web Token (JWT)?

Un JSON Web Token (JWT) es un estándar abierto compacto y seguro para URL (definido por el RFC 7519) que se utiliza para transmitir información de forma segura entre las partes como un objeto JSON. Debido a que esta información está firmada digitalmente, puede ser verificada y es confiable. Los JWT son apátridas (stateless) y autónomos, lo que significa que toda la información necesaria para autenticar a un usuario está contenida dentro del propio token. Esto los convierte en una opción extremadamente popular para las aplicaciones web y móviles modernas, especialmente para manejar la autenticación y el intercambio de información.

Puede identificar fácilmente un JWT por su estructura de tres partes, con cada parte separada por un punto (.): header.payload.signature.

Las tres partes de un JWT explicadas

Cuando utiliza nuestro decodificador JWT, está viendo las versiones decodificadas de las dos primeras partes del token.

1. El encabezado (Metadatos)

La primera parte del token es el encabezado JWT. Es un objeto JSON que está codificado en Base64Url. Normalmente consta de dos pares clave-valor:

2. La carga útil (Claims)

La segunda parte del token es la carga útil o Payload. Esta parte también es un objeto JSON codificado en Base64Url y contiene las "reclamaciones" (claims). Las reclamaciones son declaraciones sobre una entidad (normalmente el usuario) y datos adicionales. Hay tres tipos de reclamaciones:

Nuestro visor de claims JWT facilita la inspección de todas estas reclamaciones de un vistazo.

3. La firma

La tercera parte del token es la firma JWT. Se crea tomando el encabezado codificado, la carga útil codificada, una clave secreta (o clave privada para algoritmos asimétricos) y ejecutándolos a través del algoritmo especificado (alg).

El propósito de la firma es verificar la autenticidad del token. Garantiza que el token no fue alterado durante el tránsito. Si un atacante cambia incluso un solo carácter en la carga útil, la firma ya no será válida. Por eso, esta herramienta no realiza ni puede realizar la validación de la firma; hacerlo requeriría la clave secreta, que nunca debe compartirse ni pegarse en una herramienta en línea. Este decodificador es para inspeccionar los datos (claims) dentro del token, no para verificar su autenticidad.

Cómo usar esta herramienta decodificadora JWT

  1. Copie su token: Copie la cadena JWT completa (las tres partes) de su aplicación, el almacenamiento local del navegador o la respuesta de la API.
  2. Pegue el token: Pegue el token en el área de texto en la parte superior de la página. También puede usar el botón "Cargar ejemplo" para ver un token válido.
  3. Haga clic en "Decodificar Token": La herramienta analizará instantáneamente el token.
  4. Inspeccione los resultados: El encabezado y la carga útil se mostrarán en dos cuadros JSON independientes y claramente formateados a continuación, lo que le permitirá leer fácilmente todos los datos y metadatos.
  5. Limpiar: Haga clic en el botón "Limpiar" para comenzar de nuevo.

Escenarios comunes de depuración

Un decodificador JWT es principalmente una herramienta de depuración. Aquí hay problemas comunes que puede resolver con él:

Herramientas de desarrollo relacionadas

Dado que los JWT se basan en otros estándares web, es posible que estas herramientas le resulten útiles junto con nuestro decodificador:

Preguntas frecuentes

¿Qué es un decodificador JWT?

Un decodificador JWT es una herramienta que divide un JSON Web Token en sus tres componentes (encabezado, carga útil y firma) y muestra el encabezado y la carga útil en una estructura JSON formateada y legible por humanos. Le permite inspeccionar rápidamente los datos (claims) y metadatos almacenados dentro del token.

¿Es seguro usar este decodificador JWT con tokens sensibles?

Sí, es 100% seguro. Esta herramienta funciona completamente en el lado del cliente, en su navegador. Su token, encabezados y carga útil nunca se envían a través de la red, ni se registran o almacenan en nuestros servidores. Puede decodificar de forma segura tokens de autenticación sensibles sin preocupaciones de privacidad.

¿Esta herramienta valida la firma del JWT?

No. Esta herramienta solo decodifica el token; no valida la firma. Validar una firma requiere la "clave secreta" (para algoritmos simétricos como HS256) o la "clave pública" (para algoritmos asimétricos como RS256) que se utilizó para crear el token. Nunca debe pegar sus claves secretas en una herramienta en línea. Este decodificador es para inspeccionar los datos dentro del token, no para verificar su autenticidad.

¿Cuál es la diferencia entre el encabezado y la carga útil (Payload)?

El encabezado normalmente contiene metadatos sobre el token, como el tipo de token (typ, que es 'JWT') y el algoritmo de firma utilizado (alg, por ejemplo, 'HS256'). La carga útil contiene los datos reales o "claims" que se envían, como el ID del usuario (sub), el emisor del token (iss), el tiempo de expiración (exp) y cualquier otro dato personalizado.

¿Un JWT está codificado o cifrado?

Este es un punto común de confusión. Un JWT estándar (JWS) está codificado (usando Base64Url) y firmado, pero no está cifrado. Esto significa que cualquier persona que tenga el token puede decodificarlo y leer su contenido (como demuestra esta herramienta). Si necesita ocultar los datos para que no se lean, debe usar un token de JSON Web Encryption (JWE).

¿Qué significa el claim 'exp' en un JWT?

El claim exp (Expiration Time) es una reclamación registrada que define el tiempo a partir del cual el JWT no debe aceptarse para su procesamiento. Es una marca de tiempo de Unix (un número que representa los segundos desde 1970-01-01T00:00:00Z). Un servidor que recibe un token siempre debe verificar este claim para asegurarse de que el token no haya expirado.

Decodificador JWT: Herramienta en línea gratuita y segura para decodificar JWT | CoderTab