Validador de JWT
Pega un JWT para verificar su firma y validar sus claims. Verifica firmas HMAC (HS256, HS384, HS512) con un secreto que proporcionas, comprueba exp, nbf e iat con horas legibles y, opcionalmente, compara aud e iss. Todo se ejecuta del lado del cliente en tu navegador.
100% privado. El token, el secreto y toda la verificación se quedan en tu navegador usando la Web Crypto API nativa. Nada se sube.
El Validador de JWT verifica un JSON Web Token en tu navegador. Pega el token, ingresa el secreto HMAC y comprueba la firma para HS256, HS384 y HS512 usando la Web Crypto API nativa y, a continuación, valida las claims estándar: expiración (exp), no-antes (nbf) y emisión (iat), con marcas de tiempo legibles. También puedes proporcionar la audiencia (aud) y el emisor (iss) esperados para confirmar que coinciden. El encabezado y el payload se decodifican y se muestran para que inspecciones cada campo. Nada se sube; el secreto nunca sale de tu dispositivo.
¿Qué es un validador de JWT?
Un validador de JWT hace más que decodificar un token. Decodificar solo desempaqueta el encabezado y el payload en Base64URL para que los leas, pero no te dice nada sobre si el token es genuino o todavía utilizable. Validar significa verificar criptográficamente la firma con el secreto o la clave correcta y comprobar las claims basadas en el tiempo, para que sepas que el token fue emitido por una parte confiable, no fue alterado y no ha expirado. Esta herramienta verifica firmas HMAC y ejecuta el conjunto completo de comprobaciones de claims estándar.
Cómo verificar un JWT
Pega el token, proporciona el secreto usado para firmarlo y, opcionalmente, la audiencia y el emisor que esperas. La herramienta muestra un resultado claro de firma válida o inválida, además de un OK o falla para cada claim.
- Pega el JWT completo en el campo del token.
- Ingresa el secreto HMAC para tokens HS256, HS384 o HS512.
- Opcionalmente, completa la audiencia y el emisor esperados.
- Haz clic en Verificar para comprobar la firma y las claims.
- Revisa el resultado de la firma, las comprobaciones de cada claim y el encabezado y el payload decodificados.
¿Qué algoritmos son compatibles?
La verificación de firma cubre los algoritmos HMAC simétricos HS256, HS384 y HS512, que firman y verifican con el mismo secreto compartido. Para algoritmos asimétricos como RS256, ES256 o PS256, esta herramienta aún decodifica el token y valida todas las claims, pero no verifica esas firmas, porque requieren la clave pública correspondiente y un flujo de verificación diferente. Las comprobaciones de las claims de expiración, no-antes, emisión, audiencia y emisor se aplican a cualquier token, independientemente del algoritmo.
¿Por qué usar este validador de JWT?
- Verifica firmas HS256, HS384 y HS512 con la Web Crypto API nativa.
- Resultado claro de VÁLIDA o INVÁLIDA, no solo una decodificación.
- Comprueba exp, nbf e iat con marcas de tiempo legibles.
- Comparación opcional de audiencia (aud) y emisor (iss).
- Decodifica y muestra el encabezado y el payload para inspección.
- Totalmente del lado del cliente: el token y el secreto nunca salen de tu navegador.
Preguntas frecuentes
¿Mi token o secreto se envía a un servidor?
No. El token se decodifica y su firma se verifica enteramente en tu navegador usando la Web Crypto API nativa. Tu secreto, el token y el resultado de la verificación nunca se transmiten, almacenan ni registran. Puedes confirmarlo observando las herramientas de red del navegador mientras verificas un token.
¿En qué se diferencia de un decodificador de JWT?
Un decodificador solo desempaqueta el encabezado y el payload para que los leas; no puede decirte si el token es auténtico o todavía válido. Este validador, además, verifica la firma HMAC con tu secreto y comprueba las claims basadas en el tiempo, así que descubres si el token fue realmente firmado con ese secreto y si está expirado o aún no es válido.
¿Puede verificar tokens RS256 o ES256?
La verificación de firma aquí cubre la familia HMAC: HS256, HS384 y HS512. Para RS256, ES256, PS256 y otros algoritmos asimétricos, el token aún se decodifica por completo y todas sus claims se validan, pero la firma en sí no se comprueba, ya que eso necesita la clave pública correspondiente y una ruta de verificación separada.
¿Qué claims comprueba?
Valida exp (expiración), nbf (no-antes) e iat (emisión), mostrando cada marca de tiempo de forma legible y señalando tokens expirados, aún no válidos o emitidos en el futuro. Si proporcionas una audiencia o un emisor esperado, también comprueba las claims aud e iss e informa si coinciden.
¿Por qué mi token válido muestra una firma inválida?
La causa más común es el secreto equivocado: la verificación HMAC solo tiene éxito cuando ingresas exactamente el secreto usado para firmar el token, byte por byte. Asegúrate de que no haya espacios adicionales, de que el token no haya sido alterado y de que su algoritmo sea HS256, HS384 o HS512. Un solo caracter cambiado en el token o en el secreto reportará correctamente una firma inválida.