Decodificador e Inspector JWT — Herramienta Online Gratuita

Decodifique cualquier JSON Web Token instantáneamente. Todo el procesamiento es 100% del lado del cliente — su token nunca sale de su navegador.

Garantía de privacidad: Esta herramienta se ejecuta completamente en su navegador. No se realizan solicitudes de red. Los datos de su token permanecen en su dispositivo.

¿Qué es un JSON Web Token (JWT)?

Un JSON Web Token (JWT) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes como un objeto JSON. Los JWTs se usan comúnmente para autenticación e intercambio de información en APIs web. El token está firmado digitalmente, por lo que puede verificar su integridad — pero por defecto el payload solo está codificado en Base64, no cifrado.

Un JWT consta de tres partes separadas por puntos: Header (algoritmo y tipo de token), Payload (claims/datos) y Signature (utilizada para verificar que el token no ha sido manipulado).

Claims estándar de JWT

  • iss (Issuer) — Quién creó y firmó el token
  • sub (Subject) — De quién trata el token (generalmente ID de usuario)
  • aud (Audience) — Para quién está destinado el token
  • exp (Expiration Time) — Cuándo expira el token (timestamp Unix)
  • iat (Issued At) — Cuándo fue emitido el token
  • nbf (Not Before) — El token no es válido antes de este momento
  • jti (JWT ID) — Identificador único del token

Consejos de seguridad JWT

  • Nunca almacene datos sensibles en los payloads de JWT — el payload solo está codificado en Base64, no cifrado. Cualquiera puede decodificarlo.
  • Siempre verifique la firma del lado del servidor — un JWT decodificado no significa que sea válido. Siempre verifique la firma con su clave secreta.
  • Mantenga los tiempos de expiración cortos — use refresh tokens para sesiones largas. Los tokens de acceso de corta duración (15-60 min) limitan la exposición.
  • Evite el algoritmo "none" — algunas implementaciones vulnerables aceptan tokens sin firma. Siempre imponga un algoritmo específico.
  • Use solo HTTPS — transmita JWTs a través de conexiones cifradas para evitar la interceptación.

Preguntas frecuentes sobre JWT

¿Es seguro decodificar un token JWT en el navegador?

Sí, decodificar un JWT siempre es seguro porque el header y el payload solo están codificados en Base64URL, no cifrados. Cualquiera que tenga el token puede leer su contenido — esto es por diseño. Esta herramienta decodifica su JWT completamente en su navegador; su token nunca se envía a ningún servidor. Por eso nunca debe almacenar contraseñas, claves privadas ni secretos sensibles en el payload de un JWT.

¿Puedo verificar la firma de un JWT sin la clave secreta?

No. La verificación de la firma JWT requiere la clave secreta (para algoritmos HMAC como HS256) o la clave pública (para RS256, ES256). Siempre puede decodificar el header y el payload sin una clave, pero no puede verificar que el token no haya sido manipulado. La verificación de la firma debe realizarse del lado del servidor. Esta herramienta le muestra el contenido decodificado del token para inspección, no la validez de la firma.

¿Por qué mi token JWT expira inesperadamente?

Los tokens JWT contienen un claim exp — un timestamp Unix de cuándo expira el token. Si la hora actual supera este valor, el token es rechazado. Esto es por diseño para la seguridad. Verifique el valor exp aquí para entender cuándo expira su token. Si los tokens expiran demasiado rápido, verifique el desfase de reloj entre su servidor y cliente — incluso unos minutos de diferencia causan problemas. Use NTP para mantener los relojes del servidor sincronizados.

¿Qué algoritmo debo usar para firmar tokens JWT?

Para la mayoría de aplicaciones, se recomienda RS256 (RSA + SHA-256) porque usa claves asimétricas — se firma con una clave privada y se verifica con una clave pública, por lo que puede compartir la clave pública de forma segura. HS256 (HMAC + SHA-256) es más simple pero requiere compartir la clave secreta con cada servicio que verifique tokens. Nunca use el algoritmo "none" — algunas implementaciones vulnerables aceptan tokens sin firma, lo cual es una falla de seguridad crítica.

Herramientas relacionadas para desarrolladores