Askerium
Dev Tools
5 min de lectura

Qué es un JWT y cómo decodificarlo de forma segura

Una guía práctica sobre la estructura de los JWT y por qué pegar un token de producción en un decodificador online cualquiera es más arriesgado de lo que parece.

Qué contiene realmente un JWT

Un JSON Web Token (JWT) es una cadena compacta y segura para URLs, dividida en tres partes separadas por puntos: header.payload.signature. Es la base de la autenticación moderna — se usa para tokens de sesión, acceso a APIs y single sign-on en casi todos los frameworks web.

Cada parte es JSON codificado en base64url:

  • Header — declara el algoritmo de firma (p. ej. HS256, RS256) y el tipo de token.
  • Payload — los claims reales: sub (sujeto), exp (expiración), iat (fecha de emisión) y cualquier dato personalizado añadido por el emisor.
  • Signature — demuestra que el token no ha sido manipulado, generada con una clave secreta o privada.

El problema con la mayoría de los decodificadores JWT online

Pegar un token en un sitio "decodificador JWT" cualquiera envía esa cadena a su servidor para procesarla. Si el token proviene de un sistema en producción —tu propia sesión, un token de API interno— acabas de entregar una credencial activa a un tercero. La mayoría de los JWT no están cifrados, solo firmados, lo que significa que cualquiera que lea el payload puede ver todos los claims que contiene.

Decodificar de forma segura

El JWT Decoder de Askerium analiza el token completamente en tu navegador usando la decodificación base64url estándar — nada se transmite a ningún sitio. Puedes inspeccionar de forma segura:

  • El algoritmo de firma y el tipo de token
  • Todos los claims del payload, incluida la expiración convertida en una fecha legible
  • Si la estructura del token es válida (tres segmentos correctamente codificados)

Ten en cuenta que decodificar solo revela el contenido — no verifica la firma sin la clave secreta, así que un token decodificado no es prueba de que el emisor realmente lo firmó.

Cuándo usarlo

Depurar un flujo de autenticación, comprobar por qué expiró una sesión, o inspeccionar qué claims devuelve realmente una API — tareas comunes de desarrollo donde decodificar un JWT al instante y de forma segura te ahorra escribir un script de usar y tirar.

Herramientas relacionadas

Decodificador JWTGenerador de HashGenerador UUIDProbador de Expresiones Regulares

Artículos relacionados

Qué es un UUID v4, y cuándo deberías usar uno

¿Listo para probarlo tú mismo?

Explora todas las herramientas gratuitas de Askerium que funcionan en el navegador.

Ver herramientas
Volver al blog
¿Qué es un JWT? Decodificar de Forma Segura | Askerium