¿Por qué no verifican las firmas?

Verificar exige el secreto o la clave pública. Pegar un secreto en una web es exactamente el mal modelo de amenazas - guárdalo en tu servidor.

¿Se guardan los tokens?

No. El decodificado ocurre en tu navegador; nunca enviamos el token por la red.

Decodificador JWT

Decodifica e inspecciona JSON Web Tokens localmente.

Funciona en tu navegador

Pega un JWT para ver cabecera y payload. Las fechas iat/exp se muestran legibles. No verificamos firmas - guarda tu secreto en tu servidor.

JWT

Encabezado

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "Arnaud",
  "iat": 1516239022
}

Claims estándar

Sujeto: 1234567890
Emitido el: 2018-01-18 01:30:22 UTC

Cómo usarla

Pega el JWT
Token completo en tres partes (header.payload.signature). Hay un ejemplo precargado.
Lee header y payload
El JSON decodificado se muestra lado a lado. Los claims estándar (iss, sub, exp, iat) aparecen como fechas y etiquetas legibles.
Verifica la expiración
Comprueba si `exp` está en el pasado - es de lejos la causa más común de rechazo.

¿Qué es?

Un JSON Web Token (JWT) es tres cadenas Base64 URL-safe separadas por puntos: cabecera (algoritmo, tipo), payload (los claims - para quién, cuándo expira, permisos) y firma. Un decodificador JWT divide y decodifica las dos primeras partes en Base64. NO verifica la firma - eso requiere el secreto.

Cuándo usarla

Inspeccionar un JWT al depurar un flujo de autenticación: para qué usuario, cuándo expira, qué scopes, quién lo firmó. Útil a soporte, revisores de seguridad y devs montando OAuth/OpenID. Siempre verifica `exp` frente a la hora actual cuando se rechace una petición.

Errores comunes

No pegues tokens de producción en webs no fiables - el payload puede incluir IDs, emails, scopes. No confundas JWT con cifrado: el payload es solo Base64, legible por cualquiera. La verificación de firma necesita la clave del emisor - nunca confíes en un JWT sin verificarlo en tu servidor.

Preguntas frecuentes

¿Por qué no verifican las firmas?: Verificar exige el secreto o la clave pública. Pegar un secreto en una web es exactamente el mal modelo de amenazas - guárdalo en tu servidor.
¿Se guardan los tokens?: No. El decodificado ocurre en tu navegador; nunca enviamos el token por la red.

Codificador / Decodificador Base64

Codifica y decodifica cadenas Base64 (texto y archivos).

Formateador y validador JSON

Formatea, minifica y valida JSON al instante.

Codificador / Decodificador de URL

Codifica y decodifica URLs y cadenas de consulta (percent-encoding).