Decodificador y Verificador de JWT
Decodifica JSON Web Tokens y verifica sus firmas (HS256, RS256, ES256, EdDSA) completamente en tu navegador usando la Web Crypto API.
Cómo funciona
Pega un JSON Web Token en la entrada — la herramienta lo divide instantáneamente en sus tres partes codificadas en Base64URL (cabecera, carga útil, firma), decodifica las primeras dos a JSON y las imprime con resaltado de sintaxis. Las afirmaciones estándar como iat, nbf, exp, iss, sub y aud se renderizan como fechas legibles o etiquetas según corresponda para que puedas detectar de un vistazo tokens expirados o aún no válidos.
Para verificar la firma, pega el secreto de firma (para HS256/HS384/HS512) o la clave pública en formato PEM o JWK (para RS256, ES256, ES384, ES512 o EdDSA). La herramienta usa la API Web Crypto del navegador para recalcular la firma sobre cabecera.carga y compararla contra el segmento de firma en tiempo constante — un indicador verde significa que el token es auténtico, un indicador rojo significa que la firma es inválida o se usó la clave incorrecta.
Todo corre localmente: el token, el secreto y la clave nunca salen de tu navegador, que es por qué la mayoría de herramientas JWT en línea se niegan a verificar firmas.
Casos de uso
- Depurar errores de autenticación en una aplicación web o móvil inspeccionando exactamente qué claims contiene un token
- Verificar que un token expirado o manipulado sea rechazado correctamente por tu lógica de autorización
- Comprobar que tu proveedor de identidad está firmando tokens con la clave y algoritmo correctos
- Enseñar la estructura de JWT, los claims y los errores comunes (alg none, confusión de claves, falta de exp) con un ejemplo real
- Triaje rápido de un incidente de producción donde un token es rechazado por un servicio downstream
Preguntas frecuentes
- ¿Esta herramienta envía mi token a un servidor?
- No. La decodificación y la verificación de firma corren en tu navegador mediante Web Crypto. Los tokens, secretos y claves nunca salen de tu dispositivo — por eso la mayoría de herramientas JWT en línea se niegan a verificar firmas.
- ¿Por qué falla mi verificación HS256?
- La causa más común es un secreto codificado en base64 siendo interpretado como una cadena literal (o viceversa). Asegúrate de que el secreto coincide con el formato que usa tu biblioteca de firma.
- ¿Qué algoritmos están soportados?
- HS256, HS384, HS512 (HMAC), RS256, RS384, RS512 (RSA), ES256, ES384, ES512 (ECDSA) y EdDSA donde lo soporta el Web Crypto del navegador.
- ¿Cómo compruebo si un token ha expirado?
- La carga útil decodificada muestra iat, nbf y exp como fechas legibles. Aparece un indicador rojo para tokens expirados o aún no válidos.
- ¿Se acepta `alg: none`?
- El decodificador muestra la cabecera pero se niega a verificar alg=none, ya que aceptar tokens sin firmar es un antipatrón JWT conocido.