Decodificador de JWT
Decodifique e inspeccione tokens JSON Web para ver encabezado, carga útil y reclamaciones.
Pega un JWT para decodificar su contenido.
Decodificador de JWT — Decodifica y analiza tokens JSON Web en línea de forma gratuita
Nuestro decodificador de JWT en línea gratuito te permite pegar cualquier token JSON Web y ver inmediatamente su encabezado, carga útil y firma decodificados. Inspecciona afirmaciones del token como emisor, sujeto, vencimiento y audiencia sin escribir ningún código. Todo se ejecuta en tu navegador — tus tokens nunca se envían a ningún servidor.
¿Qué es un token JSON Web (JWT)?
Un token JSON Web (JWT) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes como un objeto JSON. Los JWT se usan comúnmente para autenticación y autorización en aplicaciones web. Cuando te logueas en un sitio web, el servidor suele devolver un JWT que tu navegador incluye en solicitudes posteriores para probar tu identidad.
Un JWT consta de tres partes separadas por puntos:
- Encabezado — especifica el tipo de token y el algoritmo de firma (p. ej.,
{"alg": "HS256", "typ": "JWT"}) - Carga útil — contiene las afirmaciones — declaraciones sobre la entidad (generalmente el usuario) y datos adicionales (p. ej.,
{"sub": "1234567890", "name": "John Doe", "iat": 1516239022}) - Firma — se usa para verificar que el token no haya sido manipulado
Cada parte está codificada en Base64Url, lo que hace que el token sea compacto y seguro para URLs. Por ejemplo, un JWT típico se ve así: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c.
Cómo usar este decodificador de JWT
- Pega tu JWT en el campo de entrada. El token debe ser una cadena de tres partes codificadas en Base64Url separadas por puntos.
- Verifica el encabezado decodificado — el algoritmo, tipo de token y otros metadatos aparecen instantáneamente.
- Verifica la carga útil decodificada — todas las afirmaciones se muestran en una tabla formateada, fácil de leer con timestamps legibles para humanos.
- Verifica el estado del token — la herramienta detecta automáticamente si el token ha expirado según la afirmación
exp. - Copia cualquier sección — haz clic en el botón de copia junto al encabezado o carga útil para copiar el JSON decodificado.
Toda la decodificación ocurre localmente en tu navegador usando la función atob integrada de JavaScript. No se transmite ningún dato a través de la red.
Características clave
| Característica | Beneficio |
|---|---|
| Decodificación instantánea | El encabezado y la carga útil se decodifican mientras escribes |
| Salida JSON formateada | JSON con sangrado y resaltado de sintaxis |
| Conversión de timestamps | Afirmaciones iat, exp y nbf mostradas como fechas legibles |
| Verificación de vencimiento | Detecta y resalta automáticamente tokens expirados |
| Descripciones de afirmaciones | Afirmaciones comunes como sub, iss y aud etiquetadas |
| Copiar al portapapeles | Copia el JSON del encabezado o carga útil con un solo clic |
| Sin transferencia de datos | Toda la decodificación ocurre localmente en tu navegador |
Referencia de afirmaciones comunes de JWT
| Afirmación | Nombre | Descripción |
|---|---|---|
iss |
Emisor | Identifica al principal que emitió el token |
sub |
Sujeto | Identifica al principal que es el sujeto del token |
aud |
Audiencia | Identifica a los destinatarios para los que se destinó el token |
exp |
Tiempo de vencimiento | Fecha y hora después de las cuales el token ya no es válido |
nbf |
No antes de | Fecha y hora antes de las cuales el token no es válido |
iat |
Emitido en | Fecha y hora en la que se emitió el token |
jti |
ID de JWT | Identificador único del token |
name |
Nombre | Nombre completo del usuario |
email |
Dirección de correo del usuario | |
role |
Rol | Rol o nivel de permiso del usuario |
scope |
Alcance | Permisos o alcances concedidos |
Para codificar datos que incluir en URLs, prueba nuestro Codificador/Decodificador de URL. Para codificación Base64, usa el Codificador/Decodificador Base64.
Casos de uso en el mundo real
Depuración de problemas de autenticación
Cuando un usuario reporta que no puede acceder a un recurso protegido, el primer paso es inspeccionar el JWT. El encabezado y la carga útil revelan información crítica sobre el estado del token y la identidad del usuario.
Verificación de permisos
La afirmación scope en el token define los permisos del usuario. Al inspeccionarla, puedes confirmar si el usuario tiene permisos suficientes para realizar una acción específica.
Diagnóstico de errores de firma
Si el token no puede ser verificado, la firma puede estar dañada o el algoritmo de firma puede no coincidir con el esperado. Esto se detecta al inspeccionar la firma del token.
Consejos para trabajar con JWT
- Nunca almacenes datos sensibles en un JWT. Los tokens se envían en la red y pueden ser interceptados.
- Usa algoritmos de firma seguros como HS256 o RS256 para proteger la integridad del token.
- Limita la vida útil de los tokens usando la afirmación
exppara evitar que se usen por mucho tiempo. - Valida siempre los tokens antes de usarlos en tu aplicación para evitar inyección de datos maliciosos.
Preguntas frecuentes
¿Qué pasa si un token expira?
Si un token expira, ya no será válido y no podrá usarse para autenticar al usuario. El servidor debe generar un nuevo token.
¿Puedo modificar un token después de emitirlo?
No, los tokens no se pueden modificar una vez emitidos. Cualquier cambio invalidará la firma y hará que el token sea rechazado.
¿Por qué es importante la firma de un token?
La firma garantiza que el token no haya sido manipulado. Sin una firma válida, el token no puede usarse para autenticar al usuario.
¿Puedo usar un token en múltiples dispositivos?
Sí, los tokens son portables y pueden usarse en cualquier dispositivo que tenga acceso a la red. Sin embargo, se deben validar en cada uso para garantizar la seguridad.