Decodificador JWT
Encabezado, carga útil y vencimiento decodificados sin conexión: el token nunca sale de su navegador.
Signature (base64url — verify server-side)
Pegue un token, vea todo: encabezado y carga útil decodificados, cada reclamo de tiempo convertido a su zona horaria local con edad relativa, una insignia EXPIRADA imperdible y una advertencia de seguridad si el token usa el peligroso algoritmo none. La decodificación se realiza completamente en su dispositivo: abra DevTools y observe: cero solicitudes de red. ¿Probando la API a la que pertenece el token? Nuestro cURL to Code Converter está al lado.
Preguntas frecuentes
¿Es seguro pegar aquí un JWT real?
El token se decodifica por completo en su navegador: no se realiza ninguna solicitud de red, no se registra ni almacena nada y la página funciona sin conexión una vez cargada. Dicho esto, trate los tokens de producción como contraseñas como un hábito: prefiera tokens caducados o de prueba al depurar en cualquier herramienta en línea.
¿Qué hay exactamente dentro de un JWT?
Tres partes de base64url separadas por puntos: un encabezado (algoritmo + tipo), una carga útil (sus reclamos: identificación de usuario, roles, vencimiento) y una firma. Los dos primeros simplemente están codificados, NO cifrados; cualquiera que tenga el token puede leerlos, que es exactamente lo que muestra este decodificador.
¿Esto verifica la firma?
No: la verificación requiere la clave pública o secreta, que nunca debe pegarse en una página web. Esta herramienta decodifica e inspecciona reclamos (la depuración es del 95%); verifique las firmas en el lado del servidor con la biblioteca JWT de su marco.
¿Por qué alg=none está marcado en rojo?
El infame ataque "ningún algoritmo": algunas bibliotecas antiguas aceptaban tokens sin firmar si el encabezado decía "ninguno", lo que permitía a los atacantes falsificar cualquier identidad. Los servidores deben rechazar dichos tokens por completo; la bandera roja le recuerda que debe verificar que el suyo lo haga.
¿Qué significan exp, iat y nbf?
Marcas de tiempo de Unix que rigen la validez: iat = cuando se emite, nbf = no válido antes, exp = vencimiento. El descodificador convierte cada uno a su hora local con una descripción relativa ("Hace 2 horas") y muestra una insignia clara de EXPIRADO cuando sea relevante.