Decodificador JWT

Decodifica e inspecciona la cabecera y el payload de un token JWT.

Cabecera

    
Payload

    

El Decodificador JWT de ToolsSoup es una herramienta online gratuita que decodifica un JSON Web Token y muestra su cabecera y su payload como JSON limpio y legible, al instante y por completo en tu navegador. Tu token nunca se sube ni se registra, así que puedes inspeccionar con total seguridad la información que contiene cualquier JWT sin que salga de tu dispositivo.

¿Qué es un JWT?

Un JSON Web Token (JWT) es una forma compacta y segura para URLs de representar información entre dos partes, usada con más frecuencia para autenticación y autorización. Está formado por tres partes codificadas en Base64URL y separadas por puntos: una cabecera que describe el algoritmo de firma, un payload que contiene la información (como el ID del usuario y la hora de expiración) y una firma que se usa para verificar que el token no ha sido manipulado.

Cómo decodificar un JWT online

Inspeccionar un token con ToolsSoup lleva solo unos segundos:

  1. Pega tu JWT en el cuadro de entrada. Debería tener el formato xxxxx.yyyyy.zzzzz.
  2. Haz clic en Decodificar para revelar la cabecera y el payload como JSON formateado.
  3. Lee la información y copia cualquiera de las secciones con un solo clic.

¿Esta herramienta verifica la firma del JWT?

No. Esta herramienta decodifica y muestra el contenido de un token, pero no verifica la firma, porque la verificación requiere la clave secreta o pública con la que se firmó. Decodificar te muestra lo que un token afirma; verificar demuestra que esas afirmaciones son auténticas. Verifica siempre las firmas en el servidor antes de confiar en un token y nunca tomes decisiones de seguridad basándote únicamente en la información decodificada.

¿Por qué usar este decodificador JWT?

  • 100% gratuito, sin anuncios, registro ni límites de uso.
  • Funciona por completo en tu navegador: tu token nunca se sube a un servidor.
  • Muestra la cabecera y el payload como JSON limpio e indentado.
  • Compatibilidad total con Unicode para información con caracteres no ASCII.
  • Funciona sin conexión una vez que la página se ha cargado.

Preguntas frecuentes

¿Este decodificador JWT es gratuito?

Sí. Todas las herramientas de ToolsSoup son completamente gratuitas, sin cuenta, sin registro y sin límites ocultos.

¿Es seguro pegar mi JWT aquí?

Sí. Toda la decodificación ocurre localmente en tu navegador mediante JavaScript, así que tu token nunca se envía ni se almacena en ningún servidor. Aun así, trata cualquier JWT como un secreto y evita compartirlo donde otras personas puedan ver tu pantalla.

¿Esta herramienta verifica la firma del token?

No. Solo decodifica la cabecera y el payload. Verificar la firma requiere la clave de firma y debe hacerse en el servidor antes de confiar en un token.

¿Los JWT están cifrados?

Los JWT firmados estándar no están cifrados: solo están codificados en Base64URL, así que cualquiera puede leer el payload. Nunca pongas datos sensibles en un JWT a menos que estés usando un JWT cifrado (JWE).

¿Por qué obtengo un error de 'JWT no válido'?

Un JWT debe tener exactamente tres partes separadas por puntos, y cada parte debe ser un JSON válido codificado en Base64URL. Las causas más habituales son un token copiado al que le falta una sección, espacios en blanco de más o pegar solo una parte del token.