OurToolNest

Decodificador JWT

Decodifica y verifica tokens JWT (JSON Web Tokens) al instante. Visualiza el encabezado, payload y firma. Gratis y privado.

¿Qué es el Decodificador JWT?

El Decodificador JWT es una herramienta online gratuita que decodifica tokens JWT (JSON Web Tokens) y muestra el encabezado y payload en un formato JSON legible. Detecta automáticamente y muestra el estado de expiración del token leyendo la reclamación exp, ayudando a los desarrolladores a determinar rápidamente si un token sigue siendo válido. Toda la decodificación ocurre completamente en tu navegador, por lo que tus tokens sensibles nunca se transmiten a través de la red.

¿Cómo usar este Decodificador JWT?

  1. Pega tu token JWT completo (las tres partes codificadas en Base64 separadas por puntos) en el campo de entrada.
  2. Haz clic en el botón Decodificar JWT para analizar la estructura del token.
  3. Revisa el encabezado decodificado para ver el algoritmo de firma y tipo de token.
  4. Examina el payload para ver todas las reclamaciones incluyendo sujeto, emisor y datos personalizados.
  5. Verifica el indicador de estado de expiración para ver si el token es actualmente válido o ha expirado.

Consejos y buenas prácticas

Nunca Compartas Tokens de Producción

Aunque esta herramienta procesa tokens localmente, evita compartir tokens JWT de entornos de producción en capturas de pantalla o logs. Los tokens pueden contener información sensible del usuario en su payload, y un token no expirado podría usarse para acceso no autorizado.

Comprende las Tres Partes

Un JWT consta de tres partes codificadas en Base64URL separadas por puntos: el encabezado (algoritmo y tipo), el payload (reclamaciones y datos) y la firma (hash de verificación). Esta herramienta decodifica las dos primeras partes que no están cifradas, solo codificadas.

Verifica la Expiración Regularmente

La reclamación exp contiene el tiempo de expiración del token como un timestamp Unix. Al depurar problemas de autenticación, siempre verifica primero si el token ha expirado, ya que esta es la causa más común de errores 401 No Autorizado en llamadas API.

Busca Reclamaciones Personalizadas

Más allá de las reclamaciones estándar como iss, sub y exp, muchas aplicaciones añaden reclamaciones personalizadas como roles de usuario, permisos o IDs de inquilino. Comprender estas reclamaciones personalizadas puede ayudarte a depurar problemas de autorización y control de acceso más efectivamente.

Casos de uso comunes

Depuración de API

Cuando las solicitudes API devuelven errores de autenticación, decodifica el JWT del encabezado Authorization para verificar si el token ha expirado, fue emitido para la audiencia incorrecta o le faltan reclamaciones requeridas que la API espera.

Solución de Problemas de Flujos OAuth

Durante la implementación de OAuth 2.0 y OpenID Connect, inspecciona los tokens de ID y tokens de acceso para verificar que el proveedor de identidad está devolviendo los scopes, reclamaciones y valores de audiencia correctos en el payload del token.

Auditoría de Seguridad

Revisa los tokens JWT para asegurarte de que no contengan información excesiva o sensible en su payload. Dado que los payloads JWT solo están codificados en Base64 (no cifrados), cualquier dato en el payload puede ser leído por cualquiera que intercepte el token.

FAQ

¿Es seguro pegar mi JWT aquí?

Sí. Toda la decodificación ocurre localmente en tu navegador. Ningún dato se envía a ningún servidor.

¿Puede esta herramienta verificar firmas JWT?

Esta herramienta decodifica y muestra el contenido del JWT. La verificación de firma requiere la clave secreta, que no es necesaria para la inspección.

¿Cuál es la diferencia entre JWS y JWE?

Los tokens JWS (JSON Web Signature) tienen un payload firmado pero legible, que es lo que la mayoría de la gente quiere decir con JWT. Los tokens JWE (JSON Web Encryption) tienen un payload cifrado que no puede leerse sin la clave de descifrado. Esta herramienta funciona con tokens JWS, que son con diferencia el tipo más común en la práctica.

¿Por qué puedo leer el payload sin la clave secreta?

Los payloads JWT están codificados en Base64URL, no cifrados. La firma solo asegura que el token no ha sido manipulado; no oculta el contenido. Esto es por diseño, por lo que nunca almacenes información verdaderamente secreta en un payload JWT a menos que uses cifrado JWE.

¿Cuáles son las reclamaciones JWT comunes?

Las reclamaciones estándar incluyen iss (emisor), sub (sujeto/ID de usuario), aud (audiencia), exp (tiempo de expiración), nbf (no antes de), iat (emitido en) y jti (ID de JWT). Las aplicaciones frecuentemente añaden reclamaciones personalizadas para roles, permisos y otros datos específicos de la aplicación.

Herramientas Relacionadas

{ }

Formateador y Validador JSON

Formatea, valida y embellece datos JSON al instante.

B64

Codificador/Decodificador Base64

Codifica y decodifica cadenas Base64 al instante.

%20

Codificador/Decodificador URL

Codifica y decodifica URLs y cadenas de consulta al instante.