Herramientas JWT — Decodificar, Verificar y Firmar

¿Qué es Herramientas JWT — Decodificar, Verificar y Firmar?

Herramientas JWT es una utilidad gratuita y completa para JSON Web Tokens que reúne un decodificador, un verificador de firmas y un firmador HS en un solo lugar. En modo Decodificar decodifica en base64url un token header.payload.signature y muestra la cabecera y el contenido como JSON con formato. En modo Verificar lee el campo alg de la cabecera del token y comprueba la firma con la Web Crypto API: un secreto HMAC compartido para HS256, HS384 y HS512, o una clave pública en formato PEM para RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) y ES256/ES384/ES512 (ECDSA). En modo Firmar construye y firma con HMAC un token nuevo a partir de un JSON de cabecera, un JSON de contenido, un algoritmo HS elegido y un secreto. Está pensada para ingenieros de backend y frontend, testers de QA e integradores de API que depuran autenticación, sesiones OAuth/OIDC y la expiración de tokens sin pegar secretos en un servicio remoto.

Cómo usar Herramientas JWT — Decodificar, Verificar y Firmar

1. Elige un modo arriba: Decodificar, Verificar o Firmar.
2. Decodificar: pega un JWT (header.payload.signature) en la caja del token y lee la cabecera y el contenido con formato debajo; aquí no se comprueba la firma.
3. Verificar: pega el token y luego el secreto HMAC (para algoritmos HS) o la clave pública PEM (para RS/ES) en la caja de la clave; la herramienta lee el alg de la cabecera y muestra un resultado verde 'válido' o rojo 'inválido'.
4. Firmar: introduce un JSON de cabecera y un JSON de contenido, elige HS256, HS384 o HS512, escribe tu secreto y copia el token firmado que aparece.
5. Usa el botón Copiar en cualquier salida, o Limpiar para restablecer la entrada de decodificación.

Ejemplos

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

valid (HS256)

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Preguntas frecuentes

¿Mis tokens, secretos y claves se suben a algún sitio?

No. Todos los modos se ejecutan por completo del lado del cliente en tu navegador usando la Web Crypto API integrada (crypto.subtle) para HMAC y la verificación de firmas, además de base64url y JSON en JavaScript. Nada —ni el token, ni el secreto, ni la clave PEM— se envía a ningún servidor, lo que hace seguro trabajar con credenciales de producción.

¿Qué algoritmos puede verificar?

Verificar admite HS256, HS384 y HS512 con un secreto HMAC compartido, y RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) y ES256/ES384/ES512 (ECDSA) con una clave pública en formato PEM. Lee automáticamente el campo alg de la cabecera del token, así que solo aportas el secreto o la clave pública que corresponda.

¿Con qué algoritmos puede firmar?

El modo Firmar genera solo tokens firmados con HMAC —HS256, HS384 o HS512— a partir de tu JSON de cabecera, JSON de contenido y un secreto. La firma con RSA y ECDSA necesita una clave privada y queda fuera de alcance aquí; para RS/ES todavía puedes verificar con la clave pública correspondiente en el modo Verificar.

¿El modo Decodificar comprueba la firma?

No. Decodificar solo decodifica en base64url y muestra con formato la cabecera y el contenido; nunca valida la firma. Cambia al modo Verificar y aporta un secreto o una clave pública para confirmar que un token es auténtico, y nunca confíes en un contenido decodificado hasta que su firma esté verificada.

¿Por qué la verificación dice inválido o error?

'Inválido' significa que la firma no coincide con el secreto o la clave que aportaste. Un 'error' indica en cambio que la entrada no se pudo procesar: por ejemplo, al token le falta el segmento de firma, el alg no es compatible o la clave pública PEM no se pudo analizar. Comprueba que pegaste el token completo y la clave correcta para su algoritmo.