🦊Foxi Tools
🔐

Decodificador JWT

Analiza y decodifica tokens JWT

El decodificador JWT analiza tokens JSON Web Token mostrando su encabezado, carga útil y estado de la firma de forma legible. JWT es el estándar de autenticación más utilizado en APIs modernas y aplicaciones de página única. Esta herramienta permite a desarrolladores, testers y equipos de seguridad inspeccionar rápidamente el contenido de un token sin necesidad de escribir código ni buscar decodificadores Base64 por separado.

📖 Cómo usar

  1. Pegue el token JWT en el campo de entrada
  2. El encabezado y carga útil se decodifican automáticamente
  3. Verifique el tiempo de expiración y la información de claims
  4. Puede verificar la validez del token

Características

  • Decodificación automática de encabezado/carga útil
  • Verificación de tiempo de expiración
  • Visualización de información de claims
  • Visualización de estado de validez
  • Salida en formato JSON

💡 Casos de uso

  • Desarrollador backend: Verificar los claims de un token JWT generado por el servidor de autenticación
  • Tester de QA: Comprobar que el token de acceso contiene los roles y permisos correctos para cada usuario
  • Ingeniero de seguridad: Analizar tokens sospechosos para detectar claims manipulados o tiempos de expiración inusuales
  • Desarrollador frontend: Inspeccionar el token almacenado en localStorage para depurar problemas de sesión
  • Arquitecto de software: Revisar la estructura del JWT durante el diseño del sistema de autenticación
  • DevOps: Diagnosticar errores 401/403 inspeccionando el contenido del token enviado en las solicitudes

🎯 Consejos

  • Verifique siempre el campo 'exp' (expiración) para confirmar que el token no ha caducado
  • Revise el campo 'iss' (emisor) para asegurarse de que el token proviene de su servidor de autenticación
  • Nunca comparta tokens JWT en repositorios públicos ni capturas de pantalla: contienen datos sensibles
  • Utilice esta herramienta para depuración; la verificación de firma debe realizarse siempre en el servidor

Preguntas frecuentes

Q. ¿También se verifica la firma JWT?

A. Esta herramienta solo realiza decodificación. La verificación de firma debe hacerse en el servidor con la clave secreta.

Q. ¿Cuáles son las tres partes del JWT?

A. Está compuesto por tres partes: encabezado (algoritmo), carga útil (datos), firma.

Q. ¿Es seguro pegar un token JWT en esta herramienta?

A. Sí. Todo el procesamiento ocurre en su navegador. El token no se envía a ningún servidor. Sin embargo, nunca pegue tokens de producción en herramientas en línea que no sean de confianza.

Q. ¿Qué significa el claim 'iat'?

A. 'iat' (Issued At) indica la fecha y hora en que el token fue emitido. Junto con 'exp', permite calcular la duración de validez del token y detectar tokens emitidos fuera de rangos esperados.

Q. ¿Por qué mi token aparece como expirado si acabo de generarlo?

A. Verifique que la hora de su sistema esté correctamente sincronizada. También revise la zona horaria: los claims de tiempo en JWT usan timestamps Unix en UTC, y una diferencia horaria puede causar falsos positivos.

🔗 Herramientas relacionadas

Formateador JSONMinificador HTMLEmbellecedor HTMLMinificador JavaScript