Toolverse

JWT Decoder

Pega un JSON Web Token para leer su encabezado y carga útil como JSON formateado. Las reclamaciones de marca de tiempo se muestran como fechas UTC legibles. La decodificación ocurre en tu navegador.

Esta herramienta solo decodifica el token, NO verifica la firma. Nunca confíes en un token decodificado como prueba de autenticación.

Reclamaciones de marca de tiempo (UTC)

iat
2018-01-18T01:30:22.000Z

Cómo usarlo

Pega un JSON Web Token en la caja. Un JWT son tres segmentos base64url unidos por puntos: encabezado, carga útil y firma, en ese orden. La herramienta divide el token en los puntos y decodifica base64url los primeros dos segmentos en JSON legible y formateado para que puedas inspeccionarlos lado a lado. El encabezado describe cómo se produjo el token: el algoritmo de firma, como HS256 o RS256, y el tipo de token. La carga útil contiene las reclamaciones, las declaraciones reales que hace el token. Un token para un usuario que inició sesión normalmente nombra un sujeto (de quién es el token), un emisor (quién lo acuñó) y una expiración, junto con cualquier reclamación personalizada que agregó la aplicación. Las reclamaciones de marca de tiempo son las que la gente malinterpreta más. Las reclamaciones de tiempo estándar (iat, emitido en; exp, expira; y nbf, no antes) se almacenan como segundos desde la época Unix, que es ilegible a primera vista. La herramienta convierte cada una en una fecha UTC formateada, para que puedas ver inmediatamente si un token ya ha expirado o aún no es válido. La decodificación no es verificación, y la diferencia importa. Cualquiera que tenga un JWT puede leer su encabezado y carga útil, porque esas partes solo están codificadas, no cifradas. Solo la firma, verificada contra la clave de firma, prueba que el token es auténtico e íntegro. Esta herramienta deliberadamente solo lee; nunca confíes en las reclamaciones de un token decodificado para una decisión de seguridad sin verificar la firma en tu servidor. Todo se ejecuta completamente en tu navegador, por lo que el token que pegas nunca se carga. Eso hace que el decodificador sea seguro para los trabajos cotidianos para los que fue construido: depurar un flujo de autenticación, inspeccionar por qué se rechazó una sesión o verificar exactamente qué reclamaciones emite tu proveedor de identidad.

Preguntas frecuentes

¿Verifica esto la firma?
No. Solo decodifica el encabezado y la carga útil para que puedas leerlos. Verificar un JWT requiere el secreto de firma o la clave pública, que esta herramienta nunca solicita. No trates un token decodificado como autenticado.
¿Qué son exp, iat y nbf?
Son reclamaciones de tiempo estándar en segundos desde la época Unix: iat (emitido en), nbf (no antes) y exp (expira). Esta herramienta los convierte a fechas UTC para ti.
¿Se envía mi token a algún lugar?
No. La decodificación se ejecuta completamente en tu navegador; el token nunca se carga. Aún así, evita pegar tokens de producción en ninguna herramienta en línea.
¿Por qué puedo leer la carga útil sin una contraseña?
Porque un JWT está codificado, no cifrado. El encabezado y la carga útil solo están codificados con base64url, un formato reversible que cualquiera puede decodificar, por lo que su contenido es totalmente legible sin ninguna clave. La firma es la capa de seguridad: no oculta los datos, prueba que los datos no han sido alterados. Por esa razón, nunca pongas secretos en una carga útil de JWT; trata todo en ella como público.