Help shape the future of JSON Workbench! We'd love to hear how you use it.

JWT Debugger y Tester de Seguridad

Decodifica, verifica y edita JSON Web Tokens localmente.

Token Input
Signing Algorithm

Awaiting JWT Token

Paste encoded JWT token to begin decoding

Encabezado (editable)
Carga útil (editable)
SIGNATURE VERIFICATION
No se proporcionó clave
JWT · DEBUGGER
Enviar comentarios
Ln 1, Col 1

El Depurador JWT de JSON Workbench proporciona un entorno seguro del lado del cliente para decodificar, verificar y editar JSON Web Tokens. Para otras necesidades de procesamiento de datos, explora nuestro Formateador JSON, Decodificador Base64, Comparador JSON, Comparador de Archivos y utilidades de Diferencias de Carpetas.

Cómo usar el Depurador JWT

Decodifica, inspecciona y verifica JSON Web Tokens en tres simples pasos — todo localmente en tu navegador, sin llamadas al servidor.

1. Pega tu Token

Copia un JWT de tu aplicación, cliente de API o DevTools del navegador y pégalo en el panel de entrada de la izquierda.

2. Inspecciona y Edita

El encabezado y la carga útil se decodifican instantáneamente en JSON legible. Edita cualquier sección y observa cómo se actualiza el token codificado en tiempo real.

3. Verifica la Firma

Ingresa tu secreto HMAC o clave pública RSA/EC para validar criptográficamente la firma del token — localmente, nunca enviado a un servidor.

Understanding the JWT Structure

Header

Contains metadata: the signing algorithm (alg) and token type (typ). Base64URL-encoded and placed as the first segment.

Payload

The claims — data about the user or session, such as sub, exp, iat, and iss. Not encrypted — readable by anyone.

Signature

A cryptographic signature over the header and payload using your secret or private key. Changing any part of the token invalidates this signature.

Preguntas Frecuentes

Q: ¿Es seguro pegar mi JWT aquí?

A: Sí. Toda la decodificación y verificación ocurre completamente dentro de tu navegador usando la Web Crypto API. Tu token nunca se transmite a ningún servidor externo.

Q: ¿Cuál es la diferencia entre decodificar y verificar un JWT?

A: La decodificación simplemente decodifica en base64 el token para revelar el encabezado y la carga útil. La verificación usa tu secreto o clave pública para confirmar criptográficamente que el token fue firmado por una parte de confianza.

Q: ¿Qué significa la advertencia "alg:none"?

A: La vulnerabilidad alg:none permite a un actor malicioso falsificar un JWT sin firma. Cuando la herramienta detecta un token usando alg:none, muestra una advertencia.

Q: ¿Puedo ver si mi token está vencido?

A: Sí. El panel Inspector de Reclamaciones analiza automáticamente el campo exp (expiración) y muestra si el token sigue siendo válido o ha vencido, con una fecha y hora legibles.

¿Por qué usar el Depurador JWT de JSON Workbench?

La mayoría de las herramientas JWT en línea envían tu token a sus servidores para decodificarlo. JSON Workbench es diferente — cada operación de decodificación, codificación y verificación se ejecuta completamente en tu navegador.

100% Local y Privado

Tus tokens nunca salen de tu navegador. Sin registros, sin análisis de tus datos de token, sin viajes de ida y vuelta al servidor.

Edición Bidireccional

Edita el JSON decodificado y ve cómo se actualiza el token raw instantáneamente, o pega un token raw y observa cómo se llenan los paneles JSON.

Verificación Criptográfica

Soporta secretos HMAC HS256/384/512 y claves públicas RSA RS256/RS384/RS512 para validación completa de firma.