Validar Tokens Web JSON con procesamiento en tiempo real y verificaciones de seguridad
Herramientas profesionales para
Pega cualquier JWT y ve instantáneamente el header, payload y firma decodificados con visualización codificada por colores
Admite algoritmos HMAC (HS256/384/512), RSA (RS256/384/512), ECDSA (ES256/384/512) y PSS
Detecta y muestra automáticamente el estado de expiración del token con el tiempo restante o transcurrido
Muestra todos los claims estándar (iss, sub, aud, exp, iat) y claims personalizados con etiquetas legibles por humanos
Crea nuevos tokens JWT con headers, payloads y secretos personalizados para pruebas y desarrollo
Todo el procesamiento de tokens ocurre en tu navegador — tus secretos y tokens nunca se envían a ningún servidor
Preguntas comunes sobre
Un JWT (JSON Web Token) es un formato de token compacto usado para autenticación. Tiene tres partes codificadas en Base64URL separadas por puntos: el header (algoritmo y tipo), el payload (claims como ID de usuario y expiración) y la firma (prueba criptográfica de que el token no ha sido manipulado).
Sí. Toda la decodificación ocurre localmente en tu navegador — no se envían datos a ningún servidor. Sin embargo, recuerda que los payloads JWT solo están codificados en Base64, no cifrados. Cualquiera con el token puede leer el payload, así que nunca pongas secretos en los claims JWT.
HS256 usa una clave secreta compartida (simétrica) — tanto el creador como el verificador necesitan el mismo secreto. RS256 usa un par de claves pública/privada (asimétrico) — el creador firma con una clave privada y cualquiera puede verificar con la clave pública. Usa RS256 para APIs públicas.
Pega el token y nuestra herramienta lee automáticamente el claim 'exp' y lo compara con la hora actual. Muestra si el token es válido, expirado o no tiene fecha de expiración, junto con el tiempo exacto restante o transcurrido.
Sí. Introduce un header y payload personalizados, proporciona un secreto, y la herramienta genera un JWT firmado. Esto es útil para probar autenticación API localmente, crear tokens mock para desarrollo y aprender cómo funciona la firma JWT.
Los payloads JWT están codificados en Base64, no cifrados — cualquiera con el token puede decodificar y leer el contenido. Almacena solo identificadores no sensibles (ID de usuario, roles, expiración) en JWTs. Mantén los datos sensibles en el servidor y referencíalos por ID.