🎫Depurador JWT
Cargando...
JWT (JSON Web Token) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes. Esta herramienta combina un decodificador y un generador en un único depurador de JWT. Puedes analizar tokens existentes o generar tokens de prueba y decodificarlos inmediatamente.
Cómo usar
- 1Seleccionar una pestaña
Elige 'Decodificador' o 'Generador' en las pestañas de la parte superior.
- 2Decodificar un JWT
En la pestaña Decodificador, pega un token JWT y el encabezado, la carga útil, los reclamos y la firma se analizarán automáticamente.
- 3Generar un JWT
En la pestaña Generador, configura el algoritmo, la clave secreta y los reclamos para generar automáticamente un token.
- 4Pasar al Decodificador
Haz clic en 'Decodificar este token' en un token generado para cambiar a la pestaña Decodificador con el token ya completado.
Consejos
- 💡La decodificación de JWT no requiere una clave secreta. La carga útil está codificada, no cifrada; nunca pongas información sensible en ella.
- 💡Verifica el reclamo de expiración (exp) para determinar rápidamente si un token sigue siendo válido.
- 💡Al depurar errores de autenticación de API, inspeccionar los reclamos del token a menudo revela la causa raíz.
- 💡Esta herramienta no verifica firmas. La verificación de la firma debe hacerse en el lado del servidor con la clave secreta.
Preguntas frecuentes
- Q. ¿Cuál es la estructura de un JWT?
- A. Un JWT tiene tres partes separadas por puntos: Header (cabecera), Payload (datos) y Signature (firma). La cabecera y el payload están en Base64URL; la firma se genera con una clave secreta.
- Q. ¿Se puede decodificar el payload sin la clave secreta?
- A. Sí. La cabecera y el payload son solo Base64URL y cualquiera puede decodificarlos. Solo la verificación de la firma requiere la clave secreta. No incluyas información sensible en el payload.
- Q. ¿Qué tiempo de expiración debo configurar?
- A. Los access tokens suelen expirar en 15 minutos a 1 hora; los refresh tokens en 7-30 días. Servicios más sensibles usan tiempos más cortos y renuevan automáticamente con refresh tokens.