Decodificador JWT - Decodificar JSON Web Tokens Online
Decodifica e inspecciona header, payload y firma JWT al instante. Verifica expiración de token y claims — sin envío al servidor.
Preguntas Frecuentes
¿Qué es un JSON Web Token (JWT)?
JWT (JSON Web Token) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes como un objeto JSON. Consiste en tres partes separadas por puntos: Encabezado (algoritmo y tipo de token), Carga útil (reclamaciones/datos) y Firma (para verificación). Los JWT se usan comúnmente para autenticación y autorización en aplicaciones web.
¿Cómo uso este decodificador JWT?
Simplemente pega tu token JWT en el campo de entrada. La herramienta lo decodifica automáticamente y muestra el Encabezado, la Carga útil y la Firma en pestañas separadas. Puedes hacer clic en cada pestaña para ver el contenido JSON decodificado. Para verificar la firma, ingresa tu clave secreta (para HMAC) o clave pública (para RSA) en la sección de verificación.
¿Es seguro decodificar mi JWT aquí?
Sí, esta herramienta es 100% del lado del cliente. Tu token JWT nunca sale de tu navegador - toda la decodificación y verificación ocurre localmente usando JavaScript. No se envían datos a ningún servidor. Sin embargo, nunca debes compartir públicamente JWTs que contengan información sensible, ya que la carga útil solo está codificada en Base64, no cifrada.
¿Qué son las reclamaciones JWT?
Las reclamaciones son declaraciones sobre una entidad (típicamente el usuario) y datos adicionales. Las reclamaciones estándar incluyen: exp (tiempo de expiración), iat (emitido en), nbf (no antes de), sub (sujeto), iss (emisor), aud (audiencia) y jti (ID JWT). También se pueden agregar reclamaciones personalizadas para datos específicos de la aplicación como roles de usuario o permisos.
¿Cómo funciona la verificación de firma?
Las firmas JWT aseguran que el token no ha sido alterado. Para algoritmos HMAC (HS256, HS384, HS512), la firma se crea usando una clave secreta compartida entre las partes. Para algoritmos RSA (RS256, RS384, RS512), se usa un par de claves asimétricas - clave privada para firmar, clave pública para verificación. Esta herramienta usa la API Web Crypto para verificación segura.
Ejemplos de Código
// Decode JWT (without verification)
function decodeJWT(token) {
const [headerB64, payloadB64] = token.split('.');
const decodeBase64Url = (str) => {
const base64 = str.replace(/-/g, '+').replace(/_/g, '/');
return JSON.parse(atob(base64));
};
return {
header: decodeBase64Url(headerB64),
payload: decodeBase64Url(payloadB64)
};
}
const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...';
const { header, payload } = decodeJWT(token);
console.log(payload);