Codificar JWT Token
Crea tokens JWT firmados con HMAC-SHA256 para pruebas y desarrollo. Gratis, en tu navegador, sin subir datos.
Por qué usar este codificador
JWT para desarrollo, sin complicaciones
Total privacidad
El token se genera con la Web Crypto API directamente en tu navegador. Ni el payload ni la clave secreta salen de tu dispositivo.
Firma criptográfica real
Usamos HMAC-SHA256 vía Web Crypto API, el mismo algoritmo que usan los servidores de producción. El token es válido y verificable.
Compatible con cualquier librería JWT
El token generado es estándar RFC 7519. Funciona con jsonwebtoken (Node.js), PyJWT (Python), java-jwt y cualquier implementación compatible.
Instantáneo, sin dependencias de red
No hay llamadas a servidor. La generación ocurre en milisegundos independientemente de tu conexión.
Cómo funciona
Tres pasos, sin complicaciones
Define el payload
Escribe el payload JSON con los claims que necesitas: sub, exp, iat u cualquier campo personalizado.
Introduce tu clave secreta
Escribe la clave secreta para la firma HMAC-SHA256. Usa claves de prueba — nunca claves de producción en herramientas de navegador.
Copia el token generado
El token JWT firmado se genera al instante en tu navegador. Cópialo para usarlo en tus pruebas de API.
Preguntas frecuentes
¿Tienes dudas?
HMAC-SHA256 es un algoritmo de firma que combina tu clave secreta con el header y payload codificados en Base64URL para producir una firma criptográfica. Esto garantiza que el token no haya sido modificado.
NO — nunca introduzcas claves secretas de producción en herramientas de navegador. Esta herramienta es para generar tokens de prueba en entornos de desarrollo. Las claves permanecen en tu dispositivo, pero el riesgo de exposición existe siempre que introduzcas secretos reales en cualquier campo de texto web.
HS256 (HMAC-SHA256) es el algoritmo predeterminado y más común para JWT simétricos. Es el estándar para la mayoría de implementaciones que no requieren criptografía asimétrica (RS256/ES256).
Sí. El token JWT generado puede decodificarse con nuestra herramienta JWT Decode para verificar el header y payload. Recuerda que el payload solo está codificado en Base64URL, no cifrado — cualquiera puede leer su contenido.
Sí. Añade cualquier par clave-valor JSON al payload. Los claims estándar como sub (subject), iss (issuer), aud (audience) se tratan igual que los personalizados — simplemente son convenciones del estándar JWT.
exp (expiration) e iat (issued at) son timestamps Unix en segundos. Por ejemplo, para un token que expira en 1 hora: iat es el timestamp actual y exp es iat + 3600. Puedes obtener el timestamp actual con Date.now()/1000 en la consola del navegador.
Flujo de creación de JWT, proceso de firma HMAC-SHA256, Web Crypto API para criptografía, pruebas de JWT en desarrollo de API
JSON Web Token (JWT) es un estándar abierto (RFC 7519) que define un formato compacto y autocontenido para transmitir información de forma segura entre partes como un objeto JSON. Un JWT se compone de tres partes separadas por puntos: el header (tipo de token y algoritmo de firma), el payload (los claims o afirmaciones) y la signature (firma criptográfica). Cada parte se codifica en Base64URL, lo que hace el token seguro para usar en URLs y cabeceras HTTP.
El algoritmo HS256 (HMAC con SHA-256) es el más común para JWT simétricos: tanto el emisor como el receptor comparten la misma clave secreta. La firma se calcula como HMAC-SHA256(Base64URL(header) + '.' + Base64URL(payload), secret). La Web Crypto API del navegador implementa HMAC-SHA256 de forma nativa, permitiendo generar tokens criptográficamente válidos sin enviar datos a ningún servidor.
En el desarrollo de APIs REST, JWT se usa principalmente para autenticación stateless: el servidor genera un token al hacer login, el cliente lo almacena (localStorage o cookie httpOnly) y lo envía en el header Authorization: Bearer <token> en cada petición. El servidor solo necesita verificar la firma con su clave secreta, sin consultar base de datos. Los claims estándar más importantes son sub (identificador del usuario), exp (tiempo de expiración en Unix seconds), iat (tiempo de emisión) e iss (emisor del token).