Todas las herramientas Juegos Blog Nosotros Contacto Anunciate
Desarrolladores

Decodificador JWT

Decode and analyze JWT tokens

Decodificador JWT
Decode and analyze JWT tokens
Advertencia: esta herramienta solo decodifica JWT y no verifica la firma. No compartas tokens JWT reales en herramientas en línea.
Token JWT
Pega un token JWT para decodificarlo y ver su contenido
مساحة إعلانية
Acerca de la herramienta

Decodificador JWT gratuito en linea — Decodificar, analizar y verificar JSON Web Tokens

Bienvenido al decodificador JWT de Get-Tools, una herramienta gratuita y potente que funciona directamente en tu navegador para decodificar, analizar y verificar JSON Web Tokens al instante. Ya seas un desarrollador backend depurando flujos de autenticacion, un ingeniero de seguridad auditando controles de acceso, o un estudiante aprendiendo sobre autenticacion web moderna, esta herramienta te proporciona todo lo necesario para entender el contenido de un JWT sin instalar ningun software ni extension. Todas las operaciones se ejecutan completamente en tu navegador, lo que significa que tus tokens nunca abandonan tu dispositivo — una ventaja de privacidad fundamental frente a alternativas basadas en servidor.

Que es un JSON Web Token?

JSON Web Token (JWT, pronunciado "yot") es un estandar abierto definido en la especificacion RFC 7519 para transmitir informacion de forma segura entre dos partes como un objeto JSON compacto y compatible con URLs. Los JWT se utilizan ampliamente en sistemas OAuth 2.0, OpenID Connect, inicio de sesion unico (SSO), arquitecturas de microservicios y aplicaciones moviles que se comunican con APIs REST. Un JWT consta de tres partes codificadas en Base64url separadas por puntos: una cabecera, una carga util y una firma.

Estructura de un JWT — Las tres partes

1. Cabecera (Header)

La cabecera es un pequeno objeto JSON que especifica el tipo de token (normalmente "JWT") y el algoritmo de firma utilizado, como HS256, RS256 o ES256. La eleccion del algoritmo determina directamente como se crea y se verifica la firma. Los algoritmos simetricos como HMAC utilizan una clave secreta compartida, mientras que los algoritmos asimetricos como RSA y ECDSA utilizan un par de claves publica-privada, mas adecuado para sistemas distribuidos donde el verificador no debe poseer la clave de firma.

2. Carga util (Payload)

La carga util contiene las reclamaciones (claims) — informacion sobre el usuario, la autoridad emisora y el propio token. Existen tres categorias: claims registradas definidas por la especificacion JWT (como sub para sujeto, iss para emisor, aud para audiencia, exp para expiracion, iat para fecha de emision y nbf para "no antes de"), claims publicas registradas en el registro IANA, y claims privadas acordadas entre las partes. Las claims temporales son especialmente importantes porque controlan la validez del token en el tiempo.

3. Firma (Signature)

La firma se genera aplicando el algoritmo especificado en la cabecera sobre la cabecera y la carga util codificadas, combinadas con una clave secreta o una clave privada. Cuando el destinatario recibe el token, puede recalcular la firma con la clave correspondiente y compararla con la del token. Si coinciden, el token es autentico y no ha sido modificado.

Como funciona el decodificador JWT de Get-Tools

Al pegar un JWT en el campo de entrada, la herramienta lo divide instantaneamente en sus tres partes y asigna un codigo de color a cada una: ambar para la cabecera, verde para la carga util y violeta para la firma. Luego decodifica el Base64url y muestra el contenido JSON en un formato estructurado y legible. Las claims temporales como exp, iat y nbf se detectan automaticamente y se convierten en fechas legibles, con una insignia en tiempo real que indica si el token sigue siendo valido o ya ha expirado.

Caracteristicas principales

  • Decodificacion en tiempo real: los resultados aparecen mientras escribes, sin necesidad de pulsar un boton
  • Partes del token coloreadas: cabecera, carga util y firma visualmente diferenciadas
  • Analisis temporal: deteccion automatica de exp, iat y nbf con insignias de validez
  • Verificacion de firma: soporte para HMAC, RSA, RSA-PSS y ECDSA
  • Copia con un clic: botones dedicados para copiar el header y el payload en JSON
  • Token de ejemplo: un JWT integrado con su clave secreta para pruebas rapidas
  • Privacidad total: todo el procesamiento ocurre en tu navegador — no se envia ningun dato a ningun servidor

Algoritmos compatibles

La herramienta soporta los algoritmos de firma JWT mas utilizados mediante la Web Crypto API: HMAC con SHA-256, SHA-384 y SHA-512 para firma simetrica; RSASSA-PKCS1-v1_5 y RSA-PSS para firma asimetrica RSA; y ECDSA con las curvas P-256, P-384 y P-521 para firma basada en curvas elipticas.

Consideraciones de seguridad

Recuerda que JWT esta codificado en Base64, no cifrado — cualquier persona que tenga el token puede leer su contenido. Nunca incluyas contrasenas, numeros de tarjetas de credito u otros datos sensibles en la carga util de un JWT. Transmite siempre los tokens a traves de HTTPS, establece tiempos de expiracion cortos para tokens sensibles, rota las claves de firma regularmente y prefiere algoritmos asimetricos como RS256 o ES256 en entornos de produccion.

Herramientas relacionadas
Editor Markdown Escribe y previsualiza Markdown en vivo con exportación HTML
Codificador Base64 Codificar y decodificar Base64
Solicitud HTTP Envía solicitudes HTTP y prueba APIs directamente desde el navegador
Probador Regex Probar expresiones regulares
Editor SQLite Abre y edita bases de datos SQLite en el navegador
Formateador JSON Formatear y validar
Generador UUID IDs únicos para desarrolladores
Comparador de texto Comparar dos textos
Minificador CSS Minify CSS files to speed up website loading
Formateador HTML Format and beautify HTML code with validation
Convertidor colores Convert colors between HEX, RGB, HSL and CMYK
Analizador Cron Parse Cron expressions and view execution schedule
Escaner de Seguridad Web Analiza tu sitio web y descubre vulnerabilidades
مساحة إعلانية