Decodificador JWT

Un JWT (JSON Web Token) es un token compacto y seguro para URL que se utiliza para la autenticación y el intercambio de información entre las partes. La descodificación de un JWT permite ver la cabecera (tipo de token y algoritmo), la carga útil (reclamaciones y datos de usuario) y la firma. Los desarrolladores decodifican los JWT para depurar problemas de autenticación, inspeccionar los permisos de usuario o comprender el contenido de los tokens durante el desarrollo.

Basta con pegar el token JWT en el campo de entrada y hacer clic en "Decodificar JWT". La herramienta analizará inmediatamente el token y mostrará el encabezado y la carga útil en formato JSON legible. Verá todas las reclamaciones, los tiempos de caducidad, la información del emisor y cualquier dato personalizado almacenado en el token.

No, este descodificador sólo muestra el contenido de la cabecera y la carga útil del JWT - no verifica la firma. La verificación de la firma requiere la clave secreta o la clave pública, que nunca debe ser compartida o introducida en herramientas online. Por seguridad, verifique siempre los JWT en el servidor utilizando las bibliotecas adecuadas con sus claves secretas.

Un JWT descodificado suele mostrar: el tipo de token y el algoritmo de firma en la cabecera; y declaraciones como "issuer" (emisor), "sub" (sujeto), "aud" (audiencia), "exp" (tiempo de expiración), "iat" (emitido en), y cualquier declaración personalizada en la carga útil. Esta información le ayudará a saber quién emitió el token, cuándo caduca y qué permisos o datos contiene.

Decodificar JWTs del lado del cliente es generalmente seguro ya que los JWTs están diseñados para ser leídos por cualquiera - están codificados en base64, no encriptados. Sin embargo, nunca descifre JWTs que contengan datos altamente sensibles utilizando herramientas públicas en línea. Esta herramienta procesa los tokens completamente en su navegador sin enviar datos a los servidores, pero evite utilizarla con tokens de producción que contengan información sensible.

Los JWT siguen una estructura estándar con tres partes codificadas en base64 separadas por puntos: cabecera.carga.firma. La cabecera describe el tipo de token y el algoritmo, la carga útil contiene las reclamaciones y los datos, y la firma garantiza que el token no ha sido manipulado. Esta estructura hace que los JWT sean compactos y seguros para las URL, al tiempo que mantiene la seguridad.

Los JWT descodificados contienen una declaración "exp" (caducidad), que es una marca de tiempo Unix. Compare esta marca de tiempo con la hora actual: si la hora actual es mayor que el valor exp, el token ha caducado. El descodificador muestra esta marca de tiempo en un formato legible para ayudarle a verificar la validez del token.

iat" (issued at) indica cuándo se creó el vale, "exp" (expiration time) indica cuándo caduca y "nbf" (not before) especifica cuándo es válido el vale. Estas marcas de tiempo ayudan a controlar el ciclo de vida de los tokens y evitan su reutilización en distintos periodos de tiempo.

Sí. Los tokens de acceso de OAuth 2.0 y los tokens de ID de OpenID Connect suelen utilizar el formato JWT. Descifrarlos revela ámbitos, permisos, identificadores de usuario y detalles de autenticación. Esto tiene un valor incalculable para depurar flujos de autenticación, verificar permisos concedidos y solucionar problemas de integración.