Saltar al contenido
>_ITDITDPlataforma de seguridad web

Decodificador / Inspector de JWT

Pega un JWT para decodificar su encabezado y su payload y comprobar riesgos como alg:none, la expiración o la falta de exp. Todo se ejecuta en tu navegador; las firmas no se verifican.

Todo se ejecuta en tu navegador. Tus datos nunca se envían a un servidor.

Pega un JWT arriba para ver el resultado decodificado.

Cómo usarla

  1. 1

    Pega el JWT que quieres inspeccionar (encabezado.payload.firma — tres partes).

  2. 2

    El encabezado y el payload se decodifican y se enumeran los valores peligrosos.

  3. 3

    exp / iat / nbf se muestran como marcas de tiempo legibles.

Por qué importa

Lo clave que hay que entender: un JWT no está cifrado. Cualquiera puede decodificarlo con Base64URL y leerlo. Por eso nunca pongas secretos en el payload, rechaza alg:none y define siempre exp — esas son las defensas básicas.

Preguntas frecuentes

Q¿Se envía mi JWT a algún sitio?
A

No. La decodificación ocurre por completo en tu navegador; el token nunca se envía a un servidor. Aun así, ten cuidado al manejar secretos de producción.

Q¿Se verifica la firma?
A

No. Esta herramienta solo decodifica e inspecciona el contenido (la verificación necesita la clave; para la defensa lo importante es ver qué hay dentro).

Páginas relacionadas