¿La herramienta verifica la firma?

Con tokens HMAC (HS256, HS384, HS512), pega el secreto y la herramienta comprueba la firma en tu propio dispositivo. Para tokens RS y ES (RS256/384/512, ES256/384/512), pega la clave pública PEM del emisor y se verifica igual. En ambos casos, el secreto o la clave nunca sale de tu dispositivo.

¿Es seguro pegar un token real de producción?

La decodificación ocurre en tu dispositivo, el token no se envía a ningún servidor. Aun así, un bearer token concede acceso a quien lo tenga, así que el riesgo real es que alguien vea tu pantalla, no la herramienta en sí.

¿Qué significa que el campo alg diga 'none'?

Algunas librerías antiguas aceptaban tokens sin firma con alg=none, un vector de ataque conocido. Una API en producción debería rechazarlos. Si aparece 'none' en un token de autenticación, es una alerta que conviene corregir.

¿Por qué exp e iat aparecen como números y no como fechas?

Los JWT guardan los timestamps como segundos desde 1970-01-01 UTC. El decodificador añade la fecha local legible junto a cada claim para que sepas si el token ha caducado sin necesidad de hacer cálculos.

¿Puedo decodificar un token cifrado (JWE)?

Los JWE tienen cinco partes separadas por puntos y están cifrados, no solo firmados. Este decodificador lee JWS (tres partes: header.payload.signature). Para JWE necesitas la clave de descifrado, que por diseño debe quedarse en el servidor receptor.

Decodificador JWT

Decodifica e inspecciona tokens JWT al instante

Token JWT

Algoritmo: HS256Caduca en 1300d 7hEmitido el: 18 ene 2018, 1:30:22Expira el: 1 ene 2030, 0:00:00

Auditoría de seguridadConviene revisar

El token está firmado con un algoritmo real, no con "none".
Este token es válido por más de un año. Los tokens de larga duración son arriesgados si se filtran: mejor caducidades cortas con renovación.
El emisor ("iss") está definido.
Falta la claim "nbf". Es opcional, pero definirla evita que el token se use antes de su hora de inicio.

Encabezado

alg

HS256

typ

JWT

Carga útil

Reclamaciones estándar

sub

1234567890Sujeto: el usuario o entidad al que se refiere el token.

iat

151623902218 ene 2018, 1:30:22Emitido en: cuándo se creó el token.

exp

18934560001 ene 2030, 0:00:00Caducidad: el token deja de ser válido tras esta hora.

aud

freeonlinetools.ioAudiencia: a quién va dirigido el token.

iss

auth.serviceEmisor: quién creó y firmó este token.

Reclamaciones personalizadas

name

John Doe

Firma

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Verificar firma

Introduce el secreto HMAC para comprobar la firma. Tu secreto permanece en tu dispositivo y nunca se envía a ningún sitio.

¿Qué es Decodificador JWT?

Pega cualquier JSON Web Token para ver su encabezado, carga útil y firma decodificados. Revisa los claims del token, verifica tiempos de expiración y depura problemas de autenticación en segundos.

El decodificador divide el token por puntos, decodifica Base64URL el header y el payload y los analiza como JSON. Verás el algoritmo de firma (HS256, RS256, EdDSA, etc.), todos los claims reservados (iss, sub, aud, exp, iat, nbf, jti) y cualquier claim personalizado del servicio. Los claims de tipo timestamp se convierten desde Unix epoch a tu zona horaria local, así detectas un token caducado de un vistazo.

Cómo usar

Pega tu token JWT en el campo de entrada — las tres secciones codificadas en Base64 se detectarán automáticamente.
Visualiza el encabezado decodificado (algoritmo, tipo) y la carga útil (claims, expiración, emisor) uno junto al otro.
Copia secciones decodificadas individualmente o la salida completa.

Cuándo usar

Depurar un 401 comprobando si el exp del bearer token ya ha pasado.
Verificar que un token emitido en staging lleve los valores correctos de aud y iss antes de pasar a producción.
Leer el user_id o los scopes que un SSO de terceros incrusta en tu access token.

Resultado

Estás depurando un error 401 en tu API. Pega el bearer token del encabezado de la solicitud para comprobar si el claim 'exp' ya venció o si el claim 'aud' coincide con la audiencia esperada.

Preguntas frecuentes

¿La herramienta verifica la firma?: Con tokens HMAC (HS256, HS384, HS512), pega el secreto y la herramienta comprueba la firma en tu propio dispositivo. Para tokens RS y ES (RS256/384/512, ES256/384/512), pega la clave pública PEM del emisor y se verifica igual. En ambos casos, el secreto o la clave nunca sale de tu dispositivo.
¿Es seguro pegar un token real de producción?: La decodificación ocurre en tu dispositivo, el token no se envía a ningún servidor. Aun así, un bearer token concede acceso a quien lo tenga, así que el riesgo real es que alguien vea tu pantalla, no la herramienta en sí.
¿Qué significa que el campo alg diga 'none'?: Algunas librerías antiguas aceptaban tokens sin firma con alg=none, un vector de ataque conocido. Una API en producción debería rechazarlos. Si aparece 'none' en un token de autenticación, es una alerta que conviene corregir.
¿Por qué exp e iat aparecen como números y no como fechas?: Los JWT guardan los timestamps como segundos desde 1970-01-01 UTC. El decodificador añade la fecha local legible junto a cada claim para que sepas si el token ha caducado sin necesidad de hacer cálculos.
¿Puedo decodificar un token cifrado (JWE)?: Los JWE tienen cinco partes separadas por puntos y están cifrados, no solo firmados. Este decodificador lee JWS (tres partes: header.payload.signature). Para JWE necesitas la clave de descifrado, que por diseño debe quedarse en el servidor receptor.

Decodificador JWT

¿Qué es Decodificador JWT?

Cómo usar

Cuándo usar

Resultado

Preguntas frecuentes

Herramientas relacionadas

Generador de claves PGP

Notas Seguras

Cifrador de archivos

Decodificador de certificados SSL

Cifrado César

Generador de frases de contraseña

Decodificador JWT