Token Codificado
JWT Inválido

Sin datos

Verificación de Firma (OPTIONAL)

Ingrese el secreto usado para firmar el JWT a continuación:

Clave Secreta

La verificación ocurre completamente en su navegador. No se envían tokens a servidores externos.

Encabezado Decodificado
Sin datos
Carga Útil Decodificada
Sin datos
Firma
Sin datos
¿Qué es JWT?

JWT (JSON Web Token) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes. Está firmado digitalmente, lo que lo hace verificable y confiable. Los JWT pueden firmarse usando algoritmos HMAC o pares de claves públicas/privadas RSA/ECDSA.

xxxxx.yyyyy.zzzzz

Header: Información de algoritmo y tipo de token
Payload: Claims (información de usuario y metadatos)
Signature: Firma para verificación de integridad del token
Claims Registrados
iss

Emisor (Issuer) - La entidad que emitió el token

sub

Sujeto (Subject) - El sujeto del token (usualmente ID de usuario)

aud

Audiencia (Audience) - Los destinatarios del token

exp

Tiempo de Expiración - Timestamp Unix cuando expira el token

nbf

No Antes De - El token es inválido antes de este tiempo

iat

Emitido En - Timestamp Unix cuando se emitió el token

jti

JWT ID - Identificador único del token

Casos de Uso de JWT
  • Autenticación

    Emitir JWT después del login para verificar identidad en solicitudes siguientes

  • Intercambio de Información

    Verificar identidad del emisor y detectar manipulación de contenido mediante firmas

  • Inicio de Sesión Único (SSO)

    Mantener autenticación en múltiples servicios con un solo token

  • Autorización de API

    Autenticación segura de llamadas API entre microservicios

Consideraciones de Seguridad
  • JWT está codificado, no cifrado. Nunca incluya información sensible (contraseñas, tarjetas de crédito, etc.) en la carga útil.
  • Use una clave secreta fuerte de al menos 256 bits.
  • Configure una expiración apropiada (exp) y considere usar patrones de token de actualización.
  • Almacene tokens en cookies httpOnly en lugar de localStorage para prevenir ataques XSS.
  • Siempre use HTTPS en producción para prevenir exposición del token en la red.
Algoritmos Soportados

HS256

HMAC + SHA-256. El algoritmo de clave simétrica más comúnmente usado

HS384

HMAC + SHA-384. Seguridad mejorada con hash más largo que HS256

HS512

HMAC + SHA-512. Algoritmo de clave simétrica con el hash más largo

Esta herramienta solo soporta algoritmos simétricos basados en HMAC (HS*). Los algoritmos asimétricos RSA/ECDSA requieren pares de claves públicas/privadas separados.

¿Qué es el depurador JWT?

Herramienta para decodificar JSON Web Tokens y analizar encabezados, cargas útiles y firmas, así como generar nuevos tokens JWT. Visualice información de reclamos de tokens (emisor, tiempo de vencimiento, información de usuario, etc.) y verifique firmas usando algoritmos HMAC (HS256/HS384/HS512). Todo el procesamiento se realiza en el navegador para mantener los tokens seguros.

Cómo usar

Preguntas frecuentes

Consejos útiles