Skip to main content

Decodificador y Verificador JWT Online – Decodifica y valida tokens

Decodificar JWT, verificar JWT, firma.
{ }
{ }
-
Firma: - Claims: - General: - 
{ }
-
¿Quiere limpiar el payload decodificado?

Use el Formateador JSON.

Abrir Formateador JSON

Herramientas Relacionadas


Generador JWT
Generador de Cadenas Aleatorias
Convertisseur de Timestamp Unix
Convertidor de JSON a TOON

Entendiendo la Decodificación de JWT

Los JSON Web Tokens (JWT) son tokens compactos y seguros para URL utilizados para autenticación e intercambio de datos. Un JWT consta de tres partes separadas por puntos:

Encabezado.Payload.Firma
  • Encabezado – contiene el tipo de token y el algoritmo de firma
  • Payload – incluye claims como ID de usuario, emisor y tiempo de expiración
  • Firma – verifica que el token no haya sido modificado

Decodificar un JWT ayuda a los desarrolladores a inspeccionar valores y confirmar si un token es válido o ha expirado.

Ejemplo de Token JWT

A continuación se muestra un ejemplo simple de un JWT:

        eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
        .
        eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNjAwMDAwMDAwLCJleHAiOjE5MDAwMDAwMDB9
        .
        SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Decodificado Encabezado
{
  "alg": "HS256",
  "typ": "JWT"
}

Esto indica que el token utiliza HS256 y es un JWT estándar.

Decodificado Payload
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1600000000,
  "exp": 1900000000
}

Explicación de campos clave:

  • sub – identificador de sujeto o usuario
  • name – nombre de pantalla del usuario
  • iat – momento en que se emitió el token
  • exp – timestamp de expiración tras el cual el token no es válido

Verificación de Firma

La parte final es la firma, que garantiza:

  • el contenido no fue manipulado
  • el token proviene de una fuente confiable

La verificación se realiza mediante:

  • un secreto compartido para tokens HS256
  • una clave pública de un endpoint JWKS para tokens RS256

Si la verificación falla, no se debe confiar en el token.

Cuándo usar un Decodificador JWT

Los desarrolladores suelen decodificar JWT para:

  • depurar problemas de inicio de sesión
  • confirmar la expiración del token
  • inspeccionar claims de proveedores de identidad
  • validar firmas en integraciones de API

Esta herramienta permite una inspección rápida y segura sin guardar sus tokens.

Preguntas Frecuentes (FAQ)

Es una cadena compacta para transmitir información de forma segura entre sistemas.

Convierte el token en JSON legible para inspeccionar el encabezado y los claims.

No. Decodificar solo revela el contenido.
La verificación comprueba la firma criptográfica para asegurar que el token es auténtico.

Sí. No guardamos tokens. Evite compartir tokens sensibles de producción públicamente.

Revise el claim 'exp' en el payload.
Si la hora actual es posterior, el token ya no es válido.

Es un endpoint público que proporciona claves para verificar tokens RS256.

Razones comunes:

  • Secreto o clave pública incorrectos
  • Token modificado tras su emisión
  • Algoritmo de firma incorrecto
  • El token ya expiró
We use analytics cookies to understand site usage and improve tools. See our Privacy Policy.