TechPulseTechPulse

Decodificador JWT solo local

Analice, depure e inspeccione JSON Web Tokens de forma segura.

No tenemos backend.

Sus tokens nunca salen de su máquina. Toda la decodificación se realiza de forma segura dentro de su navegador utilizando JavaScript del lado del cliente. Pegue sus tokens de producción con 100% de confianza.

La cabecera aparecerá aquí...

El payload aparecerá aquí...

¿Qué es un JSON Web Token (JWT)?

Un JSON Web Token (JWT) es un estándar abierto (RFC 7519) que define una forma compacta y autónoma de transmitir información de forma segura entre partes como un objeto JSON. Esta información puede ser verificada y confiable porque está firmada digitalmente. Los JWT se pueden firmar con un secreto (con el algoritmo HMAC) o un par de claves pública/privada usando RSA o ECDSA.

Por qué la decodificación local es crítica

Los desarrolladores suelen utilizar herramientas en línea para decodificar JWT durante la depuración. Sin embargo, muchos de estos sitios web de terceros envían su token a sus servidores backend. Si pega un token de producción que contiene reclamaciones de usuario confidenciales o datos de sesión activos, esencialmente está filtrando credenciales de acceso a un tercero.

Nuestro decodificador JWT solo local resuelve esto. Al confiar estrictamente en JavaScript del lado del cliente (utilizando las API de decodificación Base64 nativas del navegador), garantizamos que su token se procese completamente en su máquina local. No se realizan solicitudes de red. No se transmiten datos.

Estructura de un JWT

En su forma compacta, los JSON Web Tokens constan de tres partes separadas por puntos (.), que son:

  • Cabecera: Normalmente consta de dos partes: el tipo de token, que es JWT, y el algoritmo de firma que se está utilizando, como HMAC SHA256 o RSA.
  • Payload: Contiene las reclamaciones. Las reclamaciones son declaraciones sobre una entidad (normalmente el usuario) y datos adicionales. Hay tres tipos de reclamaciones: registradas, públicas y privadas.
  • Firma: Para crear la parte de la firma, debe tomar la cabecera codificada, el payload codificado, un secreto, el algoritmo especificado en la cabecera y firmar eso.

Aviso de seguridad: Aunque puede decodificar la cabecera y el payload de un JWT sin la clave secreta, no puede verificar si el token ha sido manipulado o si está firmado auténticamente sin el secreto. Nuestra herramienta omite deliberadamente la verificación de la firma para permanecer 100% fuera de línea y sin estado, protegiéndolo de transmitir accidentalmente sus claves de verificación privadas a través de Internet.