Crea JWTs firmados con múltiples algoritmos o decodifica tokens existentes. Ve encabezados, payloads y claims. Todo el procesamiento ocurre localmente en tu navegador.
Nota de seguridad
Toda la firma de JWT ocurre localmente en tu navegador. Tus claves nunca dejan tu dispositivo. Sin embargo, nunca debes usar secretos de producción en herramientas en línea - usa esto solo para desarrollo y pruebas.
La clave secreta se usa para firmar el JWT. Mantenla segura y nunca la compartas.
Saved Presets is a Supporter feature.
Tool History is a Supporter feature.
Tool Notes is a Supporter feature.
Selecciona Codificar para crear un nuevo JWT, o Decodificar para inspeccionar un token existente. Puedes cambiar entre modos en cualquier momento.
Selecciona un algoritmo (HS256 recomendado para la mayoría de casos), ingresa tu payload como JSON y proporciona tu clave secreta. Usa los botones de claims rápidos para añadir claims estándar.
Haz clic en "Codificar JWT" para crear tu token, o pega un token existente en modo Decodificar. La salida está codificada por colores para mostrar encabezado, carga y firma.
Usa "Decodificar este token" para verificar tu JWT codificado. Copia el token o secciones individuales según sea necesario. Usa "Editar en codificador" para modificar un token decodificado.
Un JWT consiste en tres partes separadas por puntos: encabezado.carga.firma. Cada parte está codificada en Base64URL. El encabezado y la carga son objetos JSON, mientras que la firma es un hash criptográfico usado para verificación.
Analiza el payload JSON y valídalo. Crea el encabezado con algoritmo y tipo. Codifica en Base64URL tanto el encabezado como el payload. Concatena con un separador de punto. Firma usando el algoritmo y clave especificados. Añade la firma para crear el token final.
HS256/384/512: HMAC con SHA-256/384/512 (simétrico, usa clave secreta). RS256/384/512: RSA con SHA-256/384/512 (asimétrico, usa par de claves). ES256/384/512: ECDSA con curvas P-256/384/521 (asimétrico, usa par de claves). PS256/384/512: RSA-PSS con SHA-256/384/512 (asimétrico, usa par de claves). none: Sin firma (solo para pruebas, nunca usar en producción).
Divide el token por el separador de punto (.). Decodifica en Base64URL el encabezado (primera parte). Decodifica en Base64URL el payload (segunda parte). Analiza ambos como objetos JSON. Muestra la firma (tercera parte) tal cual.
Los JWTs están codificados, no encriptados - el contenido es legible. Nunca almacenes datos sensibles en JWTs que no quisieras exponer. Siempre verifica las firmas del lado del servidor antes de confiar en los claims. Usa tiempos de expiración cortos y tokens de actualización. Nunca uses secretos de producción en herramientas en línea.
Un JWT es un formato de token compacto y seguro para URLs usado para transmitir información de forma segura entre partes. Consiste en tres partes codificadas en Base64: encabezado (información del algoritmo), carga (reclamos/datos) y firma (verificación). Los JWTs se usan comúnmente para autenticación y autorización en aplicaciones web.
