Token JWT
..
Header Payload Firma
Header JOSE Header
Payload Claims
Firma Codificada en Base64URL
La firma no se verifica. La verificación requiere la clave secreta o certificado público.
Cómo funciona
Ejecuta esta herramienta en tres sencillos pasos.
01
Pega un token JWT
Pega cualquier JSON Web Token en el campo de entrada — se decodifica automáticamente al pegar, o haz clic en "Decodificar Token".
02
Ve las partes decodificadas
Cada sección tiene código de color y formato. Activa las explicaciones de claims para entender qué significa cada campo.
03
Verifica expiración y advertencias
Alertas automáticas señalan tokens expirados, claims faltantes, algoritmos débiles o duraciones peligrosamente largas — todo procesado localmente.
Preguntas
Lo que la gente pregunta antes de usar esta herramienta.
¿Qué es un JWT (JSON Web Token)?
Un JWT es un formato de token compacto y seguro para URLs usado para autenticación e intercambio de información. Consiste en tres partes codificadas en Base64URL separadas por puntos: un Header (algoritmo y tipo), un Payload (claims como ID de usuario, expiración) y una Firma (verificación criptográfica). Los JWTs se usan ampliamente en OAuth 2.0, OpenID Connect y autenticación de APIs.
¿Esta herramienta verifica la firma del JWT?
No. Esta herramienta decodifica e inspecciona el contenido del token (Header y Payload) sin verificar la firma. La verificación de firma requiere la clave secreta o clave pública, que nunca debe compartirse en una herramienta del navegador. Usa esta herramienta solo para depuración e inspección — nunca confíes en un JWT basándote solo en el contenido decodificado.
¿Se envía algo al servidor cuando decodifico un token?
El token se decodifica en tu navegador para inspección y Coda One no lo sube durante la decodificación. Aun así, debes evitar pegar secretos de producción en cualquier sesión del navegador a menos que tu política de seguridad lo permita.
¿Qué significan los claims estándar del JWT?
Los claims estándar incluyen: "iss" (emisor — quién creó el token), "sub" (sujeto — sobre quién es el token), "aud" (audiencia — destinatario previsto), "exp" (tiempo de expiración), "nbf" (no antes — el token no es válido antes de este tiempo), "iat" (emitido en — cuándo se creó) y "jti" (ID del JWT — identificador único para el token). Todos los claims de tiempo son timestamps Unix.
¿Por qué mi JWT no se decodifica?
Razones comunes: el token no es un JWT válido (debe tener exactamente 3 partes separadas por puntos), la codificación Base64URL está corrupta (ej.: espacios extra o caracteres faltantes), o el Header/Payload no es JSON válido. Verifica que copiaste el token completo sin truncamiento ni espacios extra.
¿Qué significan las partes con código de color?
El JWT se divide en tres partes con código de color: el Header (rosa/rojo) contiene metadatos como algoritmo y tipo de token; el Payload (morado) contiene los claims — los datos reales; y la Firma (azul) es un hash criptográfico usado para verificar que el token no ha sido alterado.
¿Funciona en dispositivos móviles?
Sí. La interfaz es completamente responsiva. Puedes pegar un JWT desde tu portapapeles, tocar Decodificar e inspeccionar las tres partes en cualquier teléfono o tableta.
¿Cómo se compara con jwt.io?
jwt.io también decodifica JWTs en el navegador. Esta herramienta añade verificación automática de expiración, advertencias de validación (algoritmos débiles, claims faltantes, duraciones largas), explicaciones de claims y alternancia compacto/formateado — todo sin enviar datos al servidor.
¿Puedo usar esto para depurar tokens de OAuth 2.0 u OpenID Connect?
Sí. Los access tokens de OAuth y los ID tokens de OIDC son típicamente JWTs. Pégalos aquí para inspeccionar scopes, audiencia, emisor, expiración y otros claims. Esto es útil para depurar problemas de autenticación de API o verificar contenidos de tokens durante el desarrollo.
¿Qué significa la advertencia del algoritmo "none"?
Un JWT con alg: "none" no tiene firma criptográfica, lo que significa que cualquiera puede falsificar el token modificando el payload. Esta es una vulnerabilidad de seguridad conocida. Los JWTs legítimos siempre deben usar un algoritmo de firma como HS256, RS256 o ES256.
¿Puedo decodificar JWTs desde la línea de comandos?
Sí. Puedes decodificar un JWT con: echo "TOKEN" | cut -d. -f2 | base64 -d | jq . — pero esto requiere jq y no maneja el padding de Base64 seguro para URLs. Esta herramienta hace todo eso automáticamente más verificaciones de expiración y advertencias.
¿Qué otras herramientas de Coda One son útiles para desarrollo de APIs?
El <a href="/base64-encode-decode">Codificador Base64</a> ayuda con codificación relacionada con tokens. El <a href="/json-formatter">Formateador JSON</a> es útil para inspeccionar respuestas de API. El <a href="/hash-generator">Generador de Hash</a> puede verificar firmas HMAC cuando tienes la clave secreta.
Relacionado
Continúa el flujo de trabajo.
AI-powered writing tools
10 writing tools free to try — humanize, rewrite, summarize, translate, and more.
El Decodificador JWT de Coda One te da un flujo directo de pegar e inspeccionar para JSON Web Tokens. Revisa las tres partes con código de color, inspecciona claims, verifica el estado de expiración y encuentra advertencias de validación sin salir de la página. Es un primer paso en el navegador para depurar flujos de autenticación antes de pasar a verificación más profunda con tus propias claves y herramientas.