Decodificador JWT

Un JSON Web Token — JWT — es un formato de token compacto y seguro para URLs utilizado para transmitir informacion de forma segura entre partes. Los JWT son el estandar de la industria para autenticacion sin estado en aplicaciones web, APIs y microservicios. Un JWT consta de tres partes codificadas en Base64URL separadas por puntos: una cabecera que especifica el algoritmo y tipo de token, un payload que contiene los claims — los datos reales —, y una firma que verifica que el token no ha sido manipulado.

Este decodificador JWT gratuito analiza cualquier token JWT y muestra su contenido en un formato legible con resaltado de sintaxis. El decodificador JWT detecta automaticamente el algoritmo utilizado, verifica el estado de expiracion del token y formatea los claims temporales en fechas legibles. Toda la decodificacion JWT ocurre completamente en tu navegador, lo que lo hace seguro para usar con tokens de produccion.

• Decodificacion JWT instantanea con cabecera y payload resaltados sintacticamente
• Deteccion automatica del estado de expiracion: el decodificador JWT muestra si el token es valido o esta expirado
• Formateo legible de los claims temporales iat, exp y nbf en el decodificador JWT
• Deteccion y visualizacion del algoritmo desde la cabecera del JWT
• Salida JSON con codigo de colores: cadenas, numeros, booleanos y valores null
• Copia con un clic para las secciones de cabecera, payload y firma del decodificador JWT
• Deteccion de errores para tokens JWT malformados o invalidos
• Diseno limpio de dos paneles: entrada del token a la izquierda, salida decodificada del JWT a la derecha
• Modo pantalla completa para inspeccionar tokens grandes en el decodificador JWT
• 100% del lado del cliente: ningun dato se envia a ningun servidor

1. Pega tu token JWT en el area de texto del panel izquierdo del decodificador.
2. La cabecera, payload y firma decodificados del JWT aparecen al instante en el panel derecho.
3. Revisa la insignia de estado del decodificador JWT para ver si el token es valido o esta expirado.
4. Examina los claims temporales mostrados en formato de fecha legible en el decodificador JWT.
5. Haz clic en el icono de copiar junto a cualquier seccion para copiarla al portapapeles.
6. Usa el boton Limpiar para restablecer el decodificador JWT y decodificar un nuevo token.

La Cabecera de un JWT tipicamente contiene dos campos: 'alg' que especifica el algoritmo de firma como HS256, RS256 o ES256, y 'typ' que generalmente es 'JWT'. La cabecera le indica al servidor como verificar la firma del token, y el decodificador JWT la muestra de forma clara.

El Payload contiene los claims del JWT: 'iss' para el emisor, 'sub' para el sujeto, 'aud' para la audiencia, 'exp' para el tiempo de expiracion, 'iat' para el tiempo de emision, 'nbf' para el tiempo de no-antes, y cualquier claim personalizado que tu aplicacion necesite. Los claims estandar tienen significados definidos en la especificacion JWT, y el decodificador JWT los formatea para facil lectura.

La Firma se crea codificando la cabecera y el payload del JWT, y luego firmandolos usando el algoritmo especificado en la cabecera. Para algoritmos HMAC esto requiere un secreto compartido, mientras que para algoritmos RSA y ECDSA se usa una clave privada. La firma asegura que el contenido del JWT no ha sido alterado, aunque el decodificador JWT no la verifica ya que no tiene acceso a la clave.

• Depurar problemas de autenticacion inspeccionando el contenido y la expiracion del token con el decodificador JWT
• Verificar que los tokens JWT contienen los claims esperados antes del despliegue
• Comprobar si un JWT ha expirado al solucionar errores 401 con el decodificador
• Comprender el algoritmo y la estructura de tokens JWT de terceros
• Aprender sobre el formato JWT y sus claims con fines educativos usando el decodificador
• Inspeccionar rapidamente tokens JWT durante el desarrollo y pruebas de APIs

• Este decodificador JWT solo decodifica tokens: no verifica firmas, ya que eso requiere la clave secreta o la clave publica
• Toda la decodificacion del decodificador JWT ocurre en tu navegador; ningun dato del token se transmite a ningun servidor
• Nunca compartas tokens JWT de produccion en entornos inseguros
• Los JWT estan codificados, no cifrados: cualquiera puede decodificar el payload sin la clave secreta usando un decodificador JWT
• Siempre valida las firmas de los tokens JWT en tu servidor antes de confiar en los claims
• Configura tiempos de expiracion cortos para los JWT y usa tokens de actualizacion para mayor seguridad