Decodificador y Verificador JWT

RFC 7519 / 7518 · se ejecuta en tu navegador

Qué se verifica

Tras decodificar la cabecera y la carga útil, esta página verifica la firma contra una clave que tú aportas. La firma se calcula sobre los bytes exactos de base64url(header)+"."+base64url(payload) y se compara con el tercer segmento usando el algoritmo declarado en la cabecera.

This page handles every standard JWT signing family:

• HS256/HS384/HS512 — firmas simétricas (HMAC), verificadas con el secreto compartido.
• RS256/RS384/RS512 — firmas RSA-PKCS#1 v1.5, verificadas con la clave pública RSA del emisor (PEM SPKI).
• PS256/PS384/PS512 — firmas RSA-PSS, verificadas con la misma forma de clave pública RSA.
• ES256/ES384/ES512 — firmas ECDSA en P-256 / P-384 / P-521, verificadas con la clave pública EC correspondiente.

Reclamaciones de tiempo

Tres reclamaciones de tiempo estándar se interpretan automáticamente:

• iat (emitido en) — cuándo se acuñó el token.
• nbf (no antes de) — el primer momento en que el token es válido.
• exp (expira en) — el último momento en que el token es válido.

Casos de uso comunes

• Decodificar un token opaco <code>Authorization: Bearer …</code> para ver exactamente qué reclamaciones envía tu cliente o recibe tu servidor.
• Confirmar la firma de un ID Token OIDC contra la clave pública del emisor antes de confiar en las reclamaciones.
• Comprobar que un JWT de servicio interno fue firmado con el secreto compartido esperado.
• Verificar que un token que debía expirar es realmente rechazado — pégalo aquí y compáralo con la cuenta atrás en vivo de <code>exp</code>.

Privacidad

Los tokens, secretos y claves que pegues se procesan solo en tu navegador. No hay viaje de red; la clave de verificación queda en memoria solo mientras la página esté abierta y nunca se almacena ni registra en ninguna parte.