Decodificador e inspector de tokens JWT

Blog

Decodificador e inspector de tokens JWT

BlogCheatsheets
Loading...
Loading JWT...

Descripción

Decodifica JSON Web Tokens para inspeccionar encabezados, cargas útiles y firmas sin claves secretas. Genial para depurar flujos de autenticación.

Acerca de Decodificador e inspector de tokens JWT

El Decodificador de JWT divide un JSON Web Token en sus tres partes (encabezado, carga útil y firma) y decodifica los segmentos Base64URL para que puedas leer las reclamaciones como JSON simple. Se ejecuta por completo en tu navegador y nunca necesita tu clave secreta, porque decodificar un JWT no requiere verificarlo. Úsalo para depurar flujos de autenticación, inspeccionar la expiración del token y confirmar qué reclamaciones emitió un servicio.

Cómo usar

  1. Pega tu JWT (la larga cadena xxxxx.yyyyy.zzzzz) en la entrada.
  2. El encabezado (algoritmo y tipo de token) y la carga útil (reclamaciones) se decodifican y se muestran como JSON formateado.
  3. Revisa reclamaciones estándar como exp (expiración), iat (emitido el), iss (emisor) y sub (sujeto).
  4. El segmento de la firma se muestra pero no se verifica: la verificación requiere la clave de firma.

Preguntas frecuentes

¿Decodificar un JWT requiere la clave secreta?

No. El encabezado y la carga útil solo están codificados en Base64URL, no cifrados, así que cualquiera puede decodificarlos y leerlos. La clave secreta solo se necesita para verificar la firma, que demuestra que el token no fue manipulado.

¿Es seguro pegar un token aquí?

La decodificación ocurre por completo en tu navegador: nada se sube. Aun así, trata los tokens de acceso reales como secretos y evita pegar tokens de producción en cualquier herramienta que no controles.

¿Por qué mi token aparece como expirado?

La reclamación exp es una marca de tiempo Unix. Si es anterior a la hora actual, el token ha expirado y la mayoría de los servidores lo rechazarán aunque aquí se siga decodificando correctamente.

¿Puedo leer un JWE cifrado aquí?

No. Esta herramienta decodifica JWT firmados (JWS). Los tokens cifrados (JWE) requieren la clave de descifrado y no son legibles para humanos solo con decodificarlos.