Stax

Decodificador JWT

Decodifica tokens JWT e inspecciona el encabezado, carga útil y vencimiento.

¿Qué es el decodificador JWT?

Esta herramienta decodifica JWT (JSON Web Token) — muestra header, payload y expiración bonitamente impresos. Esencial para depuración de autenticación API, OAuth, SSO. Funciona completamente en el navegador — tus tokens nunca van al servidor.

Cómo usar el decodificador JWT

  1. Pega el token JWT (formato xxxxx.yyyyy.zzzzz).
  2. Header y Payload se decodifican al instante en JSON.
  3. Verifica el tiempo de expiración — si el token es válido o no.
  4. Mira el algoritmo (HS256, RS256, etc.).

Notas importantes

  • JWT no es cifrado — es codificación Base64
  • Nunca pongas datos sensibles en el payload
  • La verificación de firma ocurre en el servidor
  • Tokens expirados son inválidos aunque sean auténticos

Preguntas frecuentes

¿Qué es JWT?
JWT (JSON Web Token) es un estándar popular de autenticación. Tiene tres partes: Header, Payload, Signature — separadas por puntos. Formato: xxxxx.yyyyy.zzzzz. JSON codificado en Base64 contiene datos del usuario y permisos. Más usado en APIs y SSO.
¿Es seguro decodificar JWT?
Decodificar es seguro (no es cifrado, solo codificación Base64) — cualquiera puede leer el payload. Por eso, nunca pongas datos sensibles en JWT. Es esencial verificar la firma — del lado del servidor con la clave secreta. Esta herramienta solo decodifica, no verifica.
¿Qué se almacena en JWT?
Header: algoritmo (HS256, RS256), tipo de token. Payload: ID de usuario, rol, expiración (exp), tiempo emitido (iat), emisor (iss). Signature: header + payload + secreto firmado con el algoritmo. Esta herramienta imprime header y payload bonitos.
¿Por qué expiran los JWT?
Por seguridad. Limita el mal uso de un token robado. Generalmente token de acceso 15-60 minutos, token de actualización 7-30 días. Esta herramienta indica desde el claim exp si el token ya expiró o cuándo lo hará.

Herramientas relacionadas