Decodificador y Validador de JWT
Pega un JSON Web Token para ver su contenido, las fechas de los claims, las comprobaciones de seguridad y verificar la firma. Todo ocurre en tu navegador — el token no se envía a ningún servidor.
Header
Payload
Claims destacados
🛡️ Comprobaciones de seguridad
Verificar firma
🧪 Demo: ataque alg:none
Algunos servidores mal configurados aceptan alg:none (sin firma), lo que permite falsificar tokens. Genera la versión sin firma de este payload para comprobar si tu API lo rechaza (debe rechazarlo).
Preguntas frecuentes
¿Qué es un JWT?
Un JSON Web Token es un formato de token usado para autenticación e intercambio de información. Tiene 3 partes separadas por puntos: header, payload y firma, cada una codificada en Base64URL. El contenido no está cifrado — solo firmado — así que cualquiera puede leerlo.
¿Decodificar es seguro? ¿Se filtra mi token?
Aquí sí: todo ocurre en tu navegador, el token nunca se envía a ningún servidor. Aun así, evita pegar tokens de producción válidos en herramientas que no controlas.
¿Qué es el ataque alg:none?
Es cuando un token usa el algoritmo "none" (sin firma). Si el servidor lo acepta, un atacante puede falsificar cualquier payload. Una API segura debe rechazar los tokens con alg:none y validar siempre la firma.
¿Cómo verifico la firma?
Para HS256/384/512, indica el secreto. Para RS*/ES*/PS*, pega la clave pública (PEM). La verificación usa la Web Crypto API del navegador.
☕ ¿Te gustaron las herramientas? Son gratuitas, sin registro y sin límites. Si te ayudaron, considera invitarme a un café — es lo que mantiene Ferramentai en línea y trae nuevas herramientas. Cualquier cantidad ayuda muchísimo. 💜