🔓 Decodificador JWT

Decodifique y verifique JSON Web Tokens (JWT) en línea.

5.0 / 5 (1 Calificación)
221 usos (30d)

Información del Token

Longitud

0

Tamaño Header

0 B

Tamaño Payload

0 B

Tamaño Firma

0 B

Header

Payload

Signature

Acerca de JWT

✓ JWT (JSON Web Token) es un estándar abierto para transmitir información de forma segura

✓ Consta de tres partes: Header, Payload y Signature

✓ Se usa para autenticación y autorización (API)

✓ Esta herramienta decodifica JWT pero no verifica la firma

✓ Pegue cualquier token JWT para decodificarlo automáticamente

✓ Haga clic en Copy para copiar rápidamente

Error:

Cómo usar

Características

  • ✓ Decodificar tokens JWT
  • ✓ Ver encabezado y carga útil
  • ✓ Verificar firmas
  • ✓ Soporte HS256/RS256
  • ✓ Validación de tokens

Paso

  1. Pegue su token JWT
  2. Token se decodifica automáticamente
  3. Vea encabezado y carga útil por separado
  4. Verifique firma (opcional)
  5. Copie partes decodificadas

📚 Guía completa

¿Qué es un JWT-Decoder?

Un JWT-Decoder es una herramienta en línea especializada que permite analizar y visualizar el contenido de un token JWT (JSON Web Token). Su propósito principal es facilitar la comprensión, depuración y verificación de estos tokens, que son ampliamente utilizados en autenticación y autorización para APIs y aplicaciones web modernas. En lugar de ser una simple cadena de texto cifrada, la herramienta descompone el JWT en sus partes legibles, permitiendo a desarrolladores y administradores inspeccionar su carga útil de forma segura y sin necesidad de escribir código.

Propósito de la Herramienta

El objetivo fundamental de esta herramienta es actuar como un instrumento educativo y de diagnóstico. No valida la firma digital del token (para eso se necesita la clave secreta), pero sí revela toda la información contenida en él. Esto es crucial para:

  • Depuración: Identificar errores en los datos (claims) enviados o recibidos.
  • Desarrollo: Comprobar que un token generado por una aplicación contiene la información correcta (como ID de usuario, roles o fecha de expiración).
  • Educación: Aprender sobre la estructura y el funcionamiento interno de los JWT.
  • Verificación Rápida: Confirmar visualmente la validez de la estructura del token y sus fechas de vigencia.

Funcionalidad Principal

La herramienta realiza un proceso de decodificación paso a paso sobre el token JWT proporcionado por el usuario:

  • Separación de las Partes: Divide el token en sus tres componentes principales: el Encabezado (Header), la Carga Útil (Payload) y la Firma (Signature).
  • Decodificación Base64Url: Convierte las partes del Encabezado y la Carga Útil, que están codificadas en Base64Url, de vuelta a texto plano en formato JSON.
  • Visualización Estructurada: Presenta el JSON decodificado de forma formateada y legible, resaltando la sintaxis para una fácil lectura.
  • Interpretación de Claims Comunes: Muchas herramientas interpretan y muestran de manera clara campos estándar como la fecha de expiración (exp), la fecha de emisión (iat), o el sujeto (sub), a menudo convirtiendo timestamps a formatos de fecha y hora legibles.
  • Validación Básica: Verifica que el token tenga el formato correcto (tres partes separadas por puntos) y que el JSON decodificado sea válido.

En resumen, un JWT-Decoder online es una utilidad esencial para cualquier persona que trabaje con tokens JWT, ofreciendo transparencia inmediata sobre la información que contienen y ayudando a garantizar la correcta implementación de la seguridad en aplicaciones.

¿Por qué usar un decodificador JWT?

  • Depuración y Desarrollo Simplificados

    Durante el desarrollo de una API o una aplicación de autenticación, los desarrolladores pueden inspeccionar rápidamente el contenido (claims) de un token JWT sin tener que escribir código personalizado para analizarlo, acelerando la resolución de problemas.

  • Verificación de Contenido del Token

    Un usuario que ha iniciado sesión en una aplicación web puede copiar su token (desde las herramientas del desarrollador) y pegarlo en un decodificador para verificar de forma transparente qué información (como su ID de usuario, roles o fecha de expiración) está siendo enviada al servidor.

  • Educación y Aprendizaje

    Para estudiantes o nuevos desarrolladores que están aprendiendo sobre OAuth 2.0, OpenID Connect o seguridad de APIs, usar un decodificador JWT visual les ayuda a entender la estructura de las tres partes (header, payload, signature) y los datos contenidos.

  • Auditoría Rápida de Seguridad

    Un auditor o ingeniero de seguridad puede utilizar una herramienta de decodificación para revisar manualmente los tokens en tránsito, comprobando que no contengan datos sensibles en el payload (como contraseñas) y que los permisos (scopes) sean los correctos.

  • Soporte Técnico y Diagnóstico

    Un ingeniero de soporte puede pedirle a un usuario (eliminando primero cualquier dato sensible) que decodifique un token JWT fallido para diagnosticar problemas de acceso, como un rol de usuario incorrecto o un token expirado, sin necesidad de acceder a los logs internos del sistema.

  • Validación de Integraciones de Terceros

    Al integrar un servicio externo como Auth0, Firebase o Azure AD, un desarrollador puede decodificar los tokens recibidos para asegurarse de que el proveedor de identidad está incluyendo los campos personalizados (custom claims) esperados en el formato correcto.

Validar el Token Antes de Decodificar

Nunca decodifiques un JWT sin antes realizar comprobaciones básicas. Asegúrate de que la cadena no esté vacía y verifica su estructura (tres partes separadas por puntos). Un token malformado puede causar errores inesperados en el proceso de decodificación.

Comprender la Diferencia Entre Decodificar y Verificar

Esta herramienta decodifica el token (lee su contenido), pero NO lo verifica criptográficamente. Para uso en producción, siempre debes validar la firma del token (HMAC, RSA) utilizando la biblioteca adecuada y la clave secreta o pública correspondiente para garantizar su autenticidad e integridad.

Inspeccionar Todas las Reclamaciones (Claims)

No te limites a mirar el payload. Examina también el encabezado (header) para verificar el algoritmo de firma (`alg`) usado. Revisa claims estándar importantes como:

  • `exp` (Expiración): Comprueba que el token no haya caducado.
  • `nbf` (No Antes De): Asegúrate de que el token ya sea válido para su uso.
  • `iss` (Emisor) y `aud` (Audiencia): Confirma que el token fue emitido por y para los servicios correctos.

Manejar Datos Sensibles con Precaución

Un JWT decodificado puede contener información sensible. Nunca registres, imprimas o almacenes el payload decodificado en logs accesibles. Utiliza esta herramienta solo en entornos de desarrollo o depuración seguros, nunca para procesar tokens de usuarios reales en frontend público.

Utilizar para Depuración y Desarrollo

Esta herramienta es ideal para:

  • Depurar flujos de autenticación y autorización durante el desarrollo de APIs.
  • Comprender la estructura y el contenido de los tokens que tu aplicación genera o consume.
  • Verificar rápidamente la validez de claims como la fecha de expiración.

No Implementar Lógica de Negocio Solo Basada en el Payload Decodificado

Dado que cualquiera puede decodificar y modificar un JWT sin la clave de firma, nunca bases decisiones críticas de seguridad o negocio únicamente en los datos decodificados. Toda lógica crítica debe ejecutarse en el backend después de haber verificado la firma del token.

Verificar el Algoritmo del Encabezado

Antes de proceder a la verificación criptográfica en tu backend, inspecciona el claim `alg`. Rechaza explícitamente tokens que utilicen `alg: "none"` u otros algoritmos débiles que no sean los esperados por tu aplicación, para prevenir ataques de manipulación de algoritmos.

¿Qué es un JWT y para qué se utiliza?

Un JWT (JSON Web Token) es un estándar abierto que define una forma compacta y autónoma de transmitir información de forma segura entre dos partes como un objeto JSON. Se utiliza comúnmente para autenticación y autorización en aplicaciones web y APIs. Cuando un usuario inicia sesión, el servidor genera un JWT que se envía al cliente y se usa para acceder a recursos protegidos, evitando tener que enviar credenciales constantemente.

¿Qué partes componen un JWT?

Un JWT consta de tres partes separadas por puntos: el Encabezado (Header), la Carga Útil (Payload) y la Firma (Signature). El Encabezado especifica el algoritmo de firma. La Carga Útil contiene los "reclamos" o datos, como el ID de usuario o permisos. La Firma se genera codificando el encabezado y la carga útil, y firmándolos con un algoritmo y una clave secreta para verificar que el token no ha sido alterado.

¿Cómo decodifico un JWT con esta herramienta?

Para decodificar un JWT, simplemente pegue el token completo en el campo de entrada de la herramienta y haga clic en el botón de decodificar. La herramienta separará automáticamente las tres partes, decodificará de Base64Url el Encabezado y la Carga Útil, y mostrará su contenido en formato JSON legible. La Firma no se puede decodificar, ya que es una verificación criptográfica.

¿La herramienta valida la firma del JWT?

No. Esta herramienta es un decodificador, no un validador. Solo decodifica las partes codificadas en Base64Url (Encabezado y Carga Útil) para que pueda inspeccionar su contenido. Para validar la firma y asegurarse de que el token es auténtico y no ha sido manipulado, necesita la clave secreta (para algoritmos HMAC) o la clave pública (para algoritmos RSA/ECDSA), lo que debe hacerse siempre en el entorno seguro del servidor.

¿Qué información puedo encontrar en la Carga Útil (Payload)?

En la Carga Útil encontrará los "reclamos" (claims), que son declaraciones sobre una entidad. Estos incluyen reclamos estándar como `iss` (emisor), `exp` (tiempo de expiración), `sub` (asunto) y `aud` (audiencia), así como reclamos personalizados definidos por la aplicación, como `userId`, `role` o `email`. Es importante no almacenar información sensible aquí, ya que la carga útil es decodificable por cualquiera.

Mi token JWT no se decodifica correctamente, ¿qué puede estar mal?

Hay varias causas posibles: 1) El token puede estar malformado o incompleto (debe tener tres partes separadas por puntos). 2) Puede contener caracteres no válidos o haber sido truncado al copiarlo. 3) La codificación Base64Url puede ser incorrecta. Asegúrese de copiar el token completo, incluyendo todas las partes, y verifique que no tenga espacios o saltos de línea adicionales. Si el problema persiste, el token podría estar corrupto.

¿Es seguro decodificar JWTs con herramientas en línea?

Para solo decodificar y visualizar el Encabezado y la Carga Útil, es generalmente seguro, ya que estas partes están solo codificadas (no encriptadas) y son legibles por cualquiera. Sin embargo, NUNCA debe introducir un JWT en una herramienta en línea que ofrezca validar la firma, ya que esto requeriría compartir su clave secreta. Para tareas de desarrollo e inspección, usar un decodificador local o esta herramienta de solo lectura es una práctica aceptable.

Herramientas Relacionadas

📋

Formateador JSON

Formatea, valida y embellece tus datos JSON al instante.
🔐

Codificador Base64

Codifica y decodifica cadenas Base64 en línea.
🖼️

Redimensionar Imágenes

Redimensiona imágenes a dimensiones personalizadas en línea.