¿Cómo usar esta herramienta?
- Pegue su token JWT en el campo de entrada, mediante pegado o arrastrar y soltar.
- La cabecera y la carga útil aparecen de inmediato como JSON formateado.
- Las marcas de tiempo se convierten automáticamente en fechas UTC legibles.
- El estado de expiración le muestra si el token sigue siendo válido, está expirado o aún no está activo.
¿Qué hace el decodificador?
El JWT Decoder toma una cadena JWT completa y la descompone en sus tres elementos: cabecera, carga útil y firma. Los dos primeros segmentos se decodifican mediante Base64url y se presentan como JSON indentado. El tercer segmento (la firma) deliberadamente no se verifica: para ello haría falta la clave secreta, que reside en el servidor.
Adicionalmente, el decodificador reconoce las reclamaciones de marca de tiempo (iat, exp, nbf) y convierte las marcas de tiempo Unix en fechas UTC legibles. Un campo de estado muestra de un vistazo si el token es válido, está expirado o aún no está activo.
¿Cuál es la fórmula de conversión?
La decodificación JWT trabaja a nivel de cadena, no a nivel criptográfico. El algoritmo:
- La cadena JWT se divide en tres segmentos por el punto (
.). - Los caracteres seguros para URL se reconvierten:
-se convierte en+,_se convierte en/. - Se añaden los caracteres de relleno Base64 faltantes (
=). - El resultado se decodifica mediante
atob()en una cadena binaria y se analiza como JSON UTF-8.
Ejemplo: el segmento eyJhbGciOiJIUzI1NiJ9 se decodifica a {"alg":"HS256"}. La fórmula ceil(n / 3) * 4 describe la longitud Base64; en la decodificación se aplica al revés.
¿Qué ejemplos de aplicación hay?
| Escenario | Lo que muestra el decodificador |
|---|---|
| Depuración de API | algoritmo de la cabecera (HS256, RS256) y reclamaciones de la carga útil en claro |
| Comprobar expiración del token | reclamación exp como fecha más estado de validez |
| Búsqueda de errores OAuth | extraer ámbitos, emisor y audiencia de la carga útil |
| Incorporación de desarrolladores | entender la estructura de un JWT, sin tener que escribir código |
| Registros de canalización CI/CD | comprobar rápido el contenido del token, sin jq ni herramientas CLI |
Los JWT están codificados en Base64url, no cifrados. Cualquiera puede leer el contenido: los datos sensibles no deben ir nunca sin cifrar en la carga útil.
¿Qué ámbitos de uso hay?
Autenticación de API y OAuth 2.0: la mayoría de las API REST usan JWT como tokens portadores en la cabecera Authorization. Los desarrolladores los decodifican para comprobar reclamaciones como sub (Subject), iss (Issuer) y aud (Audience), antes de empezar la búsqueda de errores en el servidor.
Inicio de sesión único (SSO): los proveedores de identidad como Auth0, Keycloak o Azure AD entregan JWT tras una autenticación exitosa. El decodificador ayuda a inspeccionar los roles y permisos contenidos, sin tener que pasar de nuevo por todo el flujo SSO.
Comunicación entre microservicios: en arquitecturas de malla de servicios, los JWT llevan reclamaciones entre servicios. Cuando un servicio devuelve un 401 o 403, el token decodificado muestra a menudo de inmediato qué reclamación falta o está expirada.
Preguntas frecuentes
Las respuestas a las preguntas más importantes están arriba en el bloque FAQ; se entregan como JSON-LD estructurado (FAQPage) para los motores de búsqueda.
¿Qué herramientas para desarrolladores están relacionadas?
Otras herramientas del ecosistema kittokit que encajan con el tema:
- Base64 Encoder: codificar texto en Base64, el formato base detrás de los segmentos JWT.
- JSON Formatter: formatear código JSON sin procesar con indentación legible y validarlo.
- Hash Generator: generar SHA-256 y otros hashes, como los usados en firmas JWT.
Última actualización: