Pro — sin anuncios
advertisement
// JWT → cabecera + payload

Decodificador de JWT

Pega un JSON Web Token para ver qué hay realmente dentro — la cabecera y el payload, decodificados y formateados para leerlos.

advertisement

Qué te dice decodificar un JWT, y qué no

La cabecera y el payload de un JWT son simplemente JSON codificado en Base64URL — cualquiera puede decodificarlos y leerlos, sin necesidad de ningún secreto, que es exactamente lo que hace esta herramienta. Lo que no puede hacer es verificar la firma: eso necesita la clave secreta o pública del emisor, que deliberadamente no es algo que debas pegar en una web cualquiera.

¿Esto verifica que el token sea válido o no haya caducado?

No — solo decodifica las partes legibles. Verificar la firma y comprobar la caducidad («exp») ocurre en el servidor que emitió el token, usando un secreto que esta herramienta nunca ve.

¿Se supone que un JWT debe ser legible así?

Sí — la cabecera y el payload solo están codificados, no cifrados. Nunca pongas secretos o datos sensibles directamente en el payload de un JWT; para eso está la firma (demostrar que no se ha manipulado), no para ocultar su contenido.

¿Se envía mi token a algún sitio?

No — la decodificación se ejecuta íntegramente en tu navegador con JavaScript puro. No se sube nada.

Convertburda — conversiones universales
advertisement