Guías

Base64URL y JWT: decodificar no significa confiar

JWT usa Base64URL. Aprende qué puedes leer y qué debes verificar antes de confiar.

Tres partes URL-safe

Un JWT firmado suele tener header, payload y signature, separados por puntos. El formato existe para transportar claims en una cadena compacta y segura para URL.

Cambia dos caracteres

Base64URL cambia + por - y / por _. JWT también elimina el padding = final. Así el token viaja mejor en headers, URLs y formularios.

Leer no valida

Puedes leer claims como iss, sub, aud o exp al decodificar el payload. Pero esa lectura no prueba la firma ni el emisor. El servidor debe verificar la firma o MAC con la clave correcta.

Cuida el alg

La aplicación debe decidir qué algoritmos acepta. Un alg inesperado debe fallar la validación.

Depuración clara

Divide por puntos, decodifica las dos primeras partes como Base64URL, añade padding si la herramienta lo pide y luego valida firma, emisor, audiencia y tiempos.

Fuentes técnicas