Pegue un token JWT a continuación para decodificar e inspeccionar su contenido. Todo el procesamiento ocurre en su navegador: su token nunca se envía a un servidor.
Un JSON Web Token (JWT) es un medio compacto y seguro para la URL para representar reclamaciones que se transfieren entre dos partes. Los JWT se utilizan comúnmente para la autenticación y autorización en aplicaciones web y APIs. El token está firmado digitalmente, lo que permite al receptor verificar que el token no ha sido manipulado.
Un JWT consta de tres partes separadas por puntos (.):
Contiene metadatos sobre el token, incluido el tipo (JWT) y el algoritmo de firma utilizado (como HMAC SHA256 o RSA).
Contiene las reclamaciones (claims), que son declaraciones sobre una entidad (generalmente el usuario) y datos adicionales. Las reclamaciones pueden incluir reclamaciones registradas estándar como exp (expiración), iat (emitido en) y reclamaciones personalizadas.
Se utiliza para verificar que el remitente del JWT es quien dice ser y para garantizar que el mensaje no se modificó en el camino. La firma se crea utilizando el encabezado, la carga útil y una clave secreta.
Identifica el tiempo de expiración en o después del cual el JWT no debe ser aceptado para su procesamiento. Esto ayuda a garantizar que los tokens tengan una vida útil limitada.
Identifica el momento en que se emitió el JWT. Esto se puede utilizar para determinar la antigüedad del JWT.
Identifica el momento antes del cual el JWT no debe ser aceptado para su procesamiento.
Identifica al principal que emitió el JWT.
Identifica al principal que es el sujeto del JWT (a menudo el ID de usuario).
Identifica a los destinatarios para los que está destinado el JWT.
Usar la herramienta Decodificador JWT es simple:
Esta herramienta es completamente del lado del cliente. Toda la decodificación de JWT ocurre en su navegador usando JavaScript. Sus tokens nunca se envían a ningún servidor, lo que garantiza su seguridad y privacidad. Incluso puede usar esta herramienta sin conexión una vez que la página se haya cargado.
Sin embargo, recuerde que los JWT solo están codificados, no cifrados. Cualquiera con acceso a un JWT puede decodificarlo y leer su contenido. Es por eso que nunca debe almacenar información sensible como contraseñas en las cargas útiles de JWT. La firma garantiza que el token no ha sido modificado, pero no oculta el contenido.
Después de que un usuario inicia sesión, se puede emitir un JWT y enviarlo con solicitudes posteriores para verificar la identidad del usuario sin requerir que el servidor mantenga el estado de la sesión.
Los JWT pueden transmitir información de forma segura entre las partes porque pueden ser firmados, lo que le permite verificar al remitente y asegurarse de que el mensaje no ha sido manipulado.
Los JWT se utilizan comúnmente en las API REST para autorizar el acceso a recursos protegidos.
Establezca tiempos de expiración apropiados para limitar la ventana de oportunidad si un token se ve comprometido.
Siempre transmita los JWTs a través de HTTPS para evitar la interceptación.
Almacene los JWTs de forma segura en su aplicación, evitando el localStorage cuando sea posible. Considere el uso de cookies httpOnly para aplicaciones sensibles.
Siempre valide los JWTs en el lado del servidor, verificando la firma, la expiración y cualquier reclamación personalizada.
Recuerde que los JWTs pueden ser decodificados por cualquiera, así que evite almacenar información sensible en la carga útil.
Esta herramienta es particularmente útil para los desarrolladores que necesitan: