Command Palette

Search for a command to run...

JWT

Decodificador JWT

Decodifica JSON Web Tokens (JWT) localmente.

JWT Token
Paste your JWT here

What

Definición de Decodificador JWT

Un JWT (JSON Web Token) es un token compacto con encabezado, payload y firma; esta herramienta decodifica su contenido.

Cases

Casos de uso comunes

1

Inspeccionar claims como emisor o expiración

2

Depurar problemas de autenticación

3

Comprobar la estructura del token antes de validar

How To

Cómo decodificar un JWT

Guía paso a paso para inspeccionar header y payload de un JWT.

1

Pega JWT

Pega el token JWT en la entrada.

2

Revisa estructura

Se muestran header y payload como JSON.

3

Revisa claims

Verifica claims como exp, iat y sub.

Knowledge

Entendiendo los JSON Web Tokens

¿Qué es un JWT?
Un JSON Web Token (JWT) es un estándar compacto y seguro para URLs para representar reclamos entre dos partes. Se usa comúnmente para la autenticación e intercambio de información en aplicaciones web y APIs.
Estructura JWT
Los JWT constan de tres partes separadas por puntos: Encabezado (algoritmo y tipo de token), Payload (reclamos/datos) y Firma (verificación). Cada parte está codificada en Base64URL. La firma garantiza que el token no ha sido alterado.
Reclamos Comunes de JWT
Los reclamos estándar incluyen: iss (emisor), sub (sujeto), aud (audiencia), exp (expiración), iat (emitido en), nbf (no antes de) y jti (ID de JWT). Se pueden añadir reclamos personalizados para datos específicos de la aplicación.
Algoritmos de Firma JWT
Los algoritmos comunes incluyen HS256 (HMAC con SHA-256, simétrico) y RS256 (RSA con SHA-256, asimétrico). Los algoritmos asimétricos permiten la verificación con llave pública sin compartir la llave de firma privada.
Consideraciones de Seguridad de JWT
Nunca guardes datos sensibles en los payloads de los JWT (solo están codificados, no cifrados). Valida siempre la firma en el lado del servidor. Usa tiempos de expiración cortos. Nunca uses el algoritmo 'none' en producción.

FAQ

Preguntas frecuentes del decodificador JWT

¿Qué hace este decodificador?
Decodifica en Base64 la cabecera y el payload de forma local; no necesita clave secreta.
¿Decodificar verifica la firma?
No. Decodificar no es validar; la verificación requiere la clave de firma en tu servidor.
¿Dónde se usan los JWT?
Tokens bearer en Authorization, sesiones API y flujos de acceso/refresh de corta duración con claims exp/nbf.
¿Cómo verifico el vencimiento de forma segura?
Lee los claims exp/nbf y compáralos con la hora UTC actual. Si no hay exp, trátalo como un token de larga duración y rótalo con regularidad.
¿Cómo surgieron los JWT?
JWT se convirtió en un estándar IETF (RFC 7519) en 2015 para compartir claims de forma segura entre partes usando JSON y firmas.
¿Qué tan populares son los JWT ahora?
Los JWT se usan ampliamente para autenticación web, APIs móviles y microservicios porque son compactos y agnósticos al lenguaje.
¿Cuáles son los casos de uso comunes de JWT?
Tokens bearer, propagación de sesiones SSO, enlaces de descarga temporales y transferencia de metadatos de usuario entre servicios.
¿Algún consejo para mantener JWT?
Usa expiraciones cortas, rota las claves de firma, fija los algoritmos (evita none) y mantén cargas pequeñas para limitar el ancho de banda y la exposición.