¿Toova verifica la firma del JWT?

No. La verificación requiere la clave de firma, que sólo tiene el emisor. Toova decodifica la cabecera y el payload para que puedas inspeccionar los claims, pero confiar en el token aún requiere verificación del lado del servidor con la clave secreta o pública.

¿Se envía mi token a algún lado?

No. El decodificador se ejecuta enteramente en tu navegador. El token nunca sale de tu dispositivo, y hay cero solicitudes de red salientes durante la decodificación. Abre DevTools y verifícalo tú mismo.

¿Puedo decodificar un token expirado?

Sí. El decodificador funciona sin importar la expiración. Marca el token como expirado y muestra cuándo pasó el claim exp, lo que ayuda al depurar por qué se rechazó una solicitud.

¿Qué me dice el campo alg?

Identifica el algoritmo de firma: HS256 para HMAC-SHA256, RS256 para RSA, ES256 para ECDSA, y así sucesivamente. Si alg es "none" el token no está firmado, lo que casi siempre es un bug de seguridad.

¿Por qué las marcas de tiempo son números?

Los claims JWT usan segundos epoch de Unix. Toova traduce iat, nbf y exp a tu zona horaria local para que puedas leerlos, manteniendo el valor crudo visible para referencia.

Decodificador JWT — Decodifica e Inspecciona JSON Web Tokens

Decodificador e Inspector JWT

Privacidad por diseño — se ejecuta completamente en tu navegador

Decodifica un JWT (JSON Web Token) e inspecciona su cabecera y payload sin enviar el token a ningún lado. Toova muestra el algoritmo, claims, marcas de emisión y expiración en forma humana, y señala los tokens ya expirados, todo localmente, en tu navegador.

¿Por qué decodificar JWT localmente?

Cada otro decodificador JWT te pide pegar el token en un formulario remoto. El problema es obvio: si el token es válido, quien corre ese servidor puede suplantarte. Toova decodifica el token enteramente en tu navegador, sin subida y sin registro. Puedes pegar un token de acceso de producción, inspeccionar los claims y verificar que tiene la forma correcta sin filtrarlo a un tercero.

Qué ves en la salida decodificada

Toova divide el token en cabecera, payload y firma. La cabecera muestra el algoritmo y el ID de la clave. El payload es JSON embellecido con cada claim estándar (iss, sub, aud, exp, nbf, iat, jti) convertido a forma legible. Las marcas de tiempo se traducen a tu zona horaria local y la herramienta señala si el token es actualmente válido, expirado o aún no activo.

Sólo decodificación, nunca confianza

Decodificar un JWT no es lo mismo que verificarlo. El decodificador te muestra lo que el token dice ser, pero no verifica la firma: eso requiere la clave de firma, que vive en el servidor que emitió el token. Usa Toova para depurar la estructura de claims, expiración y valores de audiencia; usa tu biblioteca de autenticación para verificar la confianza antes de conceder acceso.

Preguntas frecuentes

¿Toova verifica la firma del JWT?: No. La verificación requiere la clave de firma, que sólo tiene el emisor. Toova decodifica la cabecera y el payload para que puedas inspeccionar los claims, pero confiar en el token aún requiere verificación del lado del servidor con la clave secreta o pública.
¿Se envía mi token a algún lado?: No. El decodificador se ejecuta enteramente en tu navegador. El token nunca sale de tu dispositivo, y hay cero solicitudes de red salientes durante la decodificación. Abre DevTools y verifícalo tú mismo.
¿Puedo decodificar un token expirado?: Sí. El decodificador funciona sin importar la expiración. Marca el token como expirado y muestra cuándo pasó el claim exp, lo que ayuda al depurar por qué se rechazó una solicitud.
¿Qué me dice el campo alg?: Identifica el algoritmo de firma: HS256 para HMAC-SHA256, RS256 para RSA, ES256 para ECDSA, y así sucesivamente. Si alg es "none" el token no está firmado, lo que casi siempre es un bug de seguridad.
¿Por qué las marcas de tiempo son números?: Los claims JWT usan segundos epoch de Unix. Toova traduce iat, nbf y exp a tu zona horaria local para que puedas leerlos, manteniendo el valor crudo visible para referencia.