Decodificador y Verificador de JWT
Decodifica JSON Web Tokens y verifica sus firmas (HS256, RS256, ES256, EdDSA) completamente en tu navegador usando la Web Crypto API.
Cómo funciona
Pega un JSON Web Token en la entrada — la herramienta lo divide instantáneamente en sus tres partes codificadas en Base64URL (cabecera, payload, firma), decodifica las dos primeras a JSON y las muestra con formato. Las reclamaciones estándar como iat, nbf, exp, iss, sub y aud se muestran como fechas o etiquetas legibles, para que puedas detectar tokens expirados o no válidos aún de un vistazo. Para verificar la firma, pega el secreto de firma (para HS256/HS384/HS512) o la clave pública en formato PEM o JWK (para RS256, ES256, ES384, ES512 o EdDSA). La herramienta utiliza la Web Crypto API del navegador para recomputar la firma sobre header.payload y compararla con el segmento de firma en tiempo constante — una insignia verde significa que el token es auténtico, una roja significa que la firma no es válida o se usó la clave incorrecta. Todo se ejecuta localmente: el token, el secreto y la clave nunca salen de tu navegador, razón por la cual la mayoría de las herramientas JWT online se niegan a verificar firmas en absoluto.
Casos de uso
- Depurar errores de autenticación en una aplicación web o móvil inspeccionando exactamente qué claims contiene un token
- Verificar que un token expirado o manipulado sea rechazado correctamente por tu lógica de autorización
- Comprobar que tu proveedor de identidad está firmando tokens con la clave y algoritmo correctos
- Enseñar la estructura de JWT, los claims y los errores comunes (alg none, confusión de claves, falta de exp) con un ejemplo real
- Triaje rápido de un incidente de producción donde un token es rechazado por un servicio downstream