DevFormat
Idioma
Ver en GitHub
100% en el lado del cliente. Sus datos nunca salen de su navegador.
Pegue el JWT para decodificar
0 chars
Metadatos del Encabezado
0 chars

Related Tools

Decodificador JWT en LíneaJump to tool
Verificar Expiración de JWT en LíneaJump to tool
Convertir JWT a JSON en LíneaJump to tool
Generador de Hash en Línea (MD5, SHA-1, SHA-256, SHA-512)Jump to tool
ADVERTISEMENT
Diagrama de estructura JWTRFC 7519
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
eyJzdWIiOiJ1c2VyXzEyMyIsIm5hbWUiOiJBbGljZSIsImV4cCI6MTcwOTQwMDAwMH0
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Header

Base64URL encoded

Contiene el tipo de token (JWT) y el algoritmo de firma (ej: HS256, RS256).

Payload

Base64URL encoded

Contiene los claims: sub, iat, exp, roles de usuario y datos personalizados.

Signature

HMAC / RSA signed

Garantiza la integridad del token. No puede ser falsificado sin la clave secreta.

⚠️

El Encabezado y la Carga útil NO están encriptados — simplemente están codificados en Base64URL. Cualquier persona con el token puede leerlos. Solo la Firma garantiza la autenticidad.

Anatomía de un JSON Web Token (JWT) — Encabezado, Carga útil y Firma

Seguridad en el Encabezado JWT

Importancia del Algoritmo (alg)

El encabezado típicamente consiste en dos partes: el tipo de token (JWT) y el algoritmo de firma. Verificar esto es fundamental para prevenir ataques de 'alg: none' donde un atacante intenta saltarse la validación de la firma.

Depuración de Claves Públicas (kid)

Muchos sistemas modernos usan rotación de claves e incluyen un 'kid' (Key ID) en el encabezado. Nuestra herramienta le permite identificar rápidamente qué clave específica se usó para firmar el token, facilitando la integración con servicios como Auth0 o AWS Cognito.

ADVERTISEMENT