Decodificador de JWT
Decodifica un JWT para ver su encabezado y carga útil. Detecta un reclamo 'exp' expirado. La firma NO es verificada.
Respuesta rápida: Decodifica un JWT para ver su encabezado y carga útil. Detecta un reclamo 'exp' expirado. La firma NO es verificada.
Última actualización
Preguntas frecuentes
- ¿Cómo decodifico un JWT?
- Pega el token y el encabezado y la carga útil aparecerán de inmediato. Las reclamaciones `iat`, `nbf` y `exp` se muestran como marcas de tiempo legibles por humanos.
- ¿Esto verifica la firma?
- No — y nunca deberías confiar en un JWT decodificado por sí solo. Siempre verifica la firma del lado del servidor con la clave secreta o pública antes de confiar en cualquier reclamación.
- ¿Cómo puedo saber si un token ha expirado?
- Si la carga útil tiene una reclamación `exp`, la comparamos con la hora actual y mostramos 'Expirado' o 'No expirado' junto a la carga útil.
- ¿Qué pasa si el token está mal formado?
- Mostramos un error amigable: un JWT debe tener tres partes separadas por puntos (encabezado.carga útil.firma) y las dos primeras deben ser JSON codificado en base64url válido.
- ¿Se admiten caracteres seguros para URL?
- Sí — la decodificación de base64url (`-` por `+`, `_` por `/`, sin relleno) es el estándar JWT y lo seguimos.
- ¿El token se envía a algún lado?
- No. La decodificación se ejecuta completamente en tu navegador, por lo que incluso los tokens de producción son seguros para pegar.
- ¿Qué hay dentro de un encabezado de JWT?
- Usualmente `alg` (algoritmo de firma) y `typ` (siempre 'JWT'). Algunos tokens añaden `kid` para identificar qué clave los firmó.
- ¿Cuáles son las reclamaciones comunes de carga útil?
- `sub` (sujeto), `iss` (emisor), `aud` (auditorio), `iat` (emitido en), `exp` (expira), `nbf` (no antes de). Las aplicaciones también añaden reclamaciones personalizadas.
- ¿Por qué base64url es diferente de base64?
- Los JWT viajan en URLs y encabezados, por lo que intercambian `+`/`/` por `-`/`_` y eliminan el relleno `=` para mantenerse seguros para URL.
- ¿Este decodificador de JWT es gratuito?
- Sí — gratis, sin registro, sin límites.