Is it safe to paste my JWT here?

Yes. This tool is client-side only. Your tokens are processed locally in your browser using JavaScript and are never sent to any server. You can inspect the network traffic to verify.

What do 'exp', 'iat', and 'iss' mean?

These are standard claims: exp (Expiration Time): When the token expires. iat (Issued At): When the token was created. iss (Issuer): The entity that issued the token.

Can I edit the JWT payload?

Technically yes, but editing the payload invalidates the signature. If you try to use a tampered token on a secure server, it will be rejected unless you can re-sign it with the correct secret key.

Decodificador JWT

Decodifique e inspeccione los JSON Web Tokens (JWT) directamente en su navegador.

Pega tu token JWT

Acerca del Decodificador JWT

El Decodificador JWT de Coders Kit permite a desarrolladores y profesionales de seguridad inspeccionar el contenido de JSON Web Tokens (JWT) sin la necesidad de claves secretas. Decodifique y vea las secciones de Encabezado (Header) y Carga útil (Payload) instantáneamente en su navegador para verificar afirmaciones (claims), roles de usuario y tiempos de vencimiento. Esta herramienta se ejecuta completamente del lado del cliente, garantizando que sus tokens nunca abandonen su navegador para máxima seguridad.

Comprendiendo la Estructura JWT

Encabezado (Header)

La primera parte del token, que contiene metadatos sobre el tipo de token (generalmente "JWT") y el algoritmo de firma utilizado (por ejemplo, HMAC SHA256 o RSA).

Carga útil (Payload)

La segunda parte, que contiene las afirmaciones. Datos específicos sobre el usuario (como ID de usuario, rol o nombre) y propiedades del token (como tiempo de emisión iat y vencimiento exp).

Firma (Signature)

La tercera parte se usa para verificar que el remitente del JWT es quien dice ser y para asegurar que el mensaje no fue modificado en el camino. Nota: No verificamos las firmas aquí porque eso requiere su clave privada.

Preguntas Frecuentes (FAQ)

¿Es seguro pegar mi JWT aquí?: Sí. Esta herramienta es solo del lado del cliente. Sus tokens se procesan localmente en su navegador usando JavaScript y nunca se envían a ningún servidor. Puede inspeccionar el tráfico de red para verificarlo.
¿Qué significan 'exp', 'iat' y 'iss'?: Estas son afirmaciones estándar:

exp (Expiration Time): Cuándo vence el token.

iat (Issued At): Cuándo se creó el token.

iss (Issuer): La entidad que emitió el token.
¿Puedo editar la carga útil de JWT?: Técnicamente sí, pero editar la carga útil invalida la firma. Si intenta usar un token manipulado en un servidor seguro, será rechazado a menos que pueda volver a firmarlo con la clave secreta correcta.