1. Inicio
  2. Herramientas
  3. Seguridad y Privacidad
  4. Validador y Decodificador JWT Gratis

JWT Verificador

Valida y decodifica tokens JWT con precisión y autoridad profesional. Garantiza la integridad de tus datos mediante un procesamiento rápido y seguro.

v1.6.12 Cifrado del Lado del Cliente Act. 2024-10-13 100% Offline-First

Decodificador JWT Pro

Privacidad Garantizada Ejecución 100% Local
Local Decoding 100% Seguro by Optikit
Formato JWT Inválido. Asegúrate de incluir 3 partes separadas por puntos.
1. Pega tu Token (Encoded)
2. Token Decodificado (JSON)
HEADER: ALGORITHM & TOKEN TYPE 
// Header vacío
PAYLOAD: DATA & CLAIMS 
// Payload vacío
VERIFY SIGNATURE (VISUAL) 
// Firma Base64Url
Estado del Token Esperando Token
Algoritmo -
Expiración (EXP) -
Tip Pro de Optikit: Recuerda que la codificación Base64Url no es una forma de encriptación segura, sino un formato de codificación para tránsito web. Nunca envíes información confidencial (como contraseñas en texto plano o números de tarjeta) dentro del Payload de un JWT, ya que cualquier persona puede decodificarlo.

Ejemplos Rápidos

Casos de uso comunes y resultados esperados.

Depuración Rápida de Errores en APIs
Decodificar un JWT para identificar el payload que causa un error 401 (Unauthorized).

Cuando una llamada a una API falla con un error de autenticación, decodifica el token para verificar si los claims (sub, exp, roles) son correctos y corresponden a lo esperado por el backend. Esto acelera la identificación de la causa raíz.

Validar Roles y Permisos de Usuario
Asegurar que un token JWT contiene el rol 'admin' o 'editor' para un acceso específico.

Inspecciona el payload del JWT para confirmar que el claim 'roles' o 'scope' contenga los permisos necesarios para acceder a un recurso específico. Esencial para pruebas de autorización y para evitar accesos no autorizados.

Monitoreo y Control de Expiración de Sesiones
Verificar si un token JWT ha expirado o está a punto de hacerlo utilizando el claim 'exp'.

Utiliza el decodificador para revisar el claim 'exp' (expiration time) y determinar la validez temporal del token. Crucial para gestionar la expiración de sesiones de usuario y la lógica de renovación de tokens.

Auditorías de Seguridad y Conformidad
Analizar la estructura del token para identificar posibles vulnerabilidades o configuraciones erróneas.

Examina el encabezado (algoritmo, tipo) y el payload (claims sensibles) para asegurar que el token cumple con las políticas de seguridad de la organización y no expone información crítica innecesariamente.

Entender Tokens de Proveedores Externos (OAuth2/OIDC)
Decodificar tokens JWT emitidos por servicios de terceros como Google, Auth0 o Okta.

Cuando integras con proveedores de identidad externos, decodifica sus tokens de acceso o ID para comprender la información del usuario y los permisos que otorgan, facilitando la integración y el mapeo de atributos.

Desarrollo y Pruebas de Sistemas de Autenticación
Generar y validar tokens JWT durante el desarrollo de un nuevo sistema de autenticación.

Como desarrollador, puedes crear tokens de prueba manualmente o con tu código y usar esta herramienta para verificar que la estructura, los claims y la firma (si se proporciona la clave) sean correctos antes de la implementación en producción.

Resolución de Problemas de Single Sign-On (SSO)
Inspeccionar tokens de sesión o tokens federados para depurar fallos en flujos de SSO.

En entornos SSO complejos, los tokens JWT se utilizan a menudo para la federación de identidades. Decodifícalos para rastrear la información de usuario y atributos que se pasan entre diferentes servicios y resolver problemas de autenticación.

Formación y Aprendizaje Interactivo de JWT
Visualizar la estructura de un JWT para comprender sus partes y funcionamiento interno.

Ideal para estudiantes y nuevos desarrolladores. Introduce un token y observa cómo se divide claramente en encabezado, payload y firma, y cómo se decodifican los datos en JSON legible, facilitando el aprendizaje práctico.

Mejores Prácticas y Tips

Consejos profesionales para optimizar tus resultados.

Verificar la Integridad del Token

La firma es la parte más crítica de un JWT para asegurar su autenticidad e integridad. Siempre valida la firma en tu backend usando la clave secreta o el certificado público correspondiente para evitar tokens manipulados.

// Ejemplo en NodeJS (pseudo-código para verificación) const jwt = require('jsonwebtoken'); try { const decoded = jwt.verify(token, secretKey); console.log('Token válido:', decoded); } catch (err) { console.error('Token inválido:', err.message); }

Proteger Información Confidencial

El payload de un JWT es solo codificado en Base64, no cifrado. Nunca incluyas información altamente sensible como contraseñas, PII críticas o datos financieros directamente en el payload. Usa referencias (IDs) en su lugar.

// EJEMPLO DE PAYLOAD A EVITAR: // { "user_id": "123", "password": "MySecretPassword123" } // EJEMPLO DE PAYLOAD RECOMENDADO: // { "user_id": "123", "role": "admin", "tenant_id": "ABC" }

Establecer Tiempos de Expiración Cortos

Configura el claim 'exp' (expiration time) para que los tokens tengan una vida útil corta (ej. 15-30 minutos). Esto reduce la ventana de oportunidad para un atacante si un token es interceptado y comprometido.

// En Google Sheets/Excel para calcular 15 minutos desde ahora: =AHORA() + TIEMPO(0,15,0) // En JavaScript para 'exp' (epoch time): Math.floor(Date.now() / 1000) + (15 * 60)

Implementar Mecanismos de Renovación de Tokens

Para una experiencia de usuario fluida, utiliza tokens de refresco (refresh tokens) de mayor duración para emitir nuevos tokens de acceso (access tokens) cuando los actuales expiren, sin requerir que el usuario se autentique de nuevo.

// Lógica de renovación (pseudo-código): IF (AccessToken.isExpired() AND RefreshToken.isValid()) THEN { AccessToken = IssueNewAccessToken(RefreshToken); } ELSE IF (AccessToken.isExpired() AND RefreshToken.isExpired()) THEN { RedirectToLogin(); }

Utilizar Siempre HTTPS/SSL para la Transmisión

Asegúrate de que todos los tokens JWT se transmitan exclusivamente a través de conexiones seguras (HTTPS/SSL). Esto previene ataques 'man-in-the-middle' donde un atacante podría interceptar y robar tokens en tránsito.

// Verificar la URL en el navegador: Debe empezar con 'https://' // Comando CURL para verificar cabeceras SSL: curl -v https://api.example.com/data

Elegir Algoritmos de Firma Fuertes

Prefiere algoritmos de firma asimétricos como RS256 o PS256 sobre algoritmos simétricos (HS256) cuando sea posible, especialmente si la clave secreta se comparte. Si usas HS256, asegúrate de que la clave sea robusta y única.

// Generación de clave secreta fuerte (ej. 32 bytes para HS256): // En Node.js: require('crypto').randomBytes(32).toString('hex'); // En Python: import os; os.urandom(32).hex()

Implementar el Claim 'jti' para Prevención de Replay

El claim 'jti' (JWT ID) es un identificador único para el token. Almacena estos IDs en una lista negra o una base de datos de tokens usados para invalidar tokens después de un solo uso o cuando un usuario cierra sesión, previniendo ataques de 'replay'.

// Generar un UUID para el claim 'jti' (pseudo-código): function generateUUID() { return 'xxxxxxxx-xxxx-4xxx-yxxx-xxxxxxxxxxxx'.replace(/[xy]/g, function(c) { var r = Math.random() * 16 | 0, v = c == 'x' ? r : (r & 0x3 | 0x8); return v.toString(16); }); }

Almacenamiento Seguro del Token Lado del Cliente

Nunca almacenes tokens JWT en `localStorage` debido a su vulnerabilidad a ataques XSS. Es preferible usar `HttpOnly` cookies (para tokens de acceso) o `sessionStorage` para tokens de corta duración, o incluso en memoria para SPAs.

// NO RECOMENDADO: // localStorage.setItem('jwt_token', token); // RECOMENDADO para cookies (backend set): // Set-Cookie: jwt=your_token; HttpOnly; Secure; SameSite=Lax; Path=/

Validar Todos los Claims Esenciales

Además de la firma y la expiración, valida siempre claims como 'iss' (issuer), 'aud' (audience) y 'sub' (subject) para asegurar que el token fue emitido por la entidad correcta, para la audiencia correcta y para el usuario esperado.

// Pseudo-código para validación de claims en el servidor: IF (token.iss !== "https://myauth.com") THROW "Invalid Issuer"; IF (token.aud !== "my-api") THROW "Invalid Audience"; IF (token.sub !== expectedUserId) THROW "Invalid Subject";

Evitar la Inyección de JWT y Confianza Excesiva

Nunca confíes ciegamente en un token JWT recibido de un cliente sin antes validarlo completamente (firma, expiración, claims esenciales). Un atacante podría intentar inyectar un token falsificado o manipulado.

// Principio de seguridad fundamental: // "Nunca confíes en el cliente. Siempre valida el token en el servidor."