Decodificador JWT
Decodifica e inspecciona cualquier token web JSON. Ver el encabezado, la carga util y la firma. Verificar firmas HS256 con un secreto. Verificar si el token esta caducado. Todo el procesamiento se ejecuta localmente en tu navegador.
🔒 Todo el procesamiento ocurre localmente en tu navegador.
Como usar este decodificador JWT
- Pega un token JWT en el area de entrada — o haz clic en Cargar ejemplo.
- El token se decodifica al instante — el Encabezado muestra el algoritmo y tipo, la Carga util muestra todas las reivindicaciones.
- El estado de caducidad del token se muestra automaticamente — verde para valido, rojo para caducado.
- Ingresa una clave secreta arriba para verificar firmas HS256/HS384/HS512.
- Haz clic en Copiar Encabezado o Copiar Carga util para copiar secciones individuales.
Acerca de los tokens JWT
Los tokens web JSON (JWTs) son el estandar dominante para la autenticacion sin estado en aplicaciones web modernas. Cuando inicias sesion, el servidor emite un JWT firmado que el cliente envia con cada solicitud.
Los JWTs son seguros para decodificar e inspeccionar — el encabezado y la carga util son solo JSON codificado en Base64url. La firma es lo que previene la manipulacion.
Esta herramienta usa la API Web Crypto para verificar firmas basadas en HMAC (HS256, HS384, HS512) localmente. Para RS256 y otros algoritmos de clave publica, se necesitaría la clave publica del emisor.
Preguntas frecuentes
Que es un token JWT? ▼
Un JWT (token web JSON) es un formato compacto y seguro para URL que transmite informacion entre partes como un objeto JSON. Consiste en tres partes: encabezado, carga util y firma. Los JWTs se usan comunmente para autenticacion y autorizacion.
Que muestra un decodificador JWT? ▼
El Encabezado contiene metadatos sobre el token — el algoritmo de firma y tipo de token. La Carga util contiene las reivindicaciones — campos predefinidos como sub (sujeto), iat (emitido en) y exp (expiracion), mas reivindicaciones personalizadas. La Firma es la prueba criptografica.
Como verifico una firma JWT? ▼
Ingresa el token en el decodificador, luego ingresa la clave secreta (para algoritmos HMAC como HS256) y haz clic en Decodificar JWT. Solo los algoritmos basados en HMAC pueden verificarse localmente.
Se envia mi JWT a un servidor? ▼
No. Toda la decodificacion y verificacion ocurre 100% en tu navegador. El token nunca sale de tu dispositivo. Puedes usar esta herramienta incluso sin conexion.
Que significa caducado? ▼
El reclamo exp (expiracion) en un JWT especifica cuando el token se vuelve invalido. Si la hora actual esta despues de esta marca de tiempo, el token se considera caducado. Esta herramienta muestra el estado de expiracion.
Puedo decodificar un JWT sin verificacion de firma? ▼
Si. Puedes decodificar cualquier JWT sin secreto — el encabezado y la carga util son solo JSON codificado en Base64url que cualquiera puede leer.
Cual es la diferencia entre HS256 y RS256? ▼
HS256 (HMAC con SHA-256) es un algoritmo simetrico — el mismo secreto se usa para firmar y verificar. RS256 (RSA con SHA-256) es asimetrico — usa una clave privada para firmar y una publica para verificar.