Base64URL y JWT: decodificar no significa confiar
JWT usa Base64URL. Aprende qué puedes leer y qué debes verificar antes de confiar.
Tres partes URL-safe
Un JWT firmado suele tener header, payload y signature, separados por puntos. El formato existe para transportar claims en una cadena compacta y segura para URL.
Cambia dos caracteres
Base64URL cambia + por - y / por _. JWT también elimina el padding = final. Así el token viaja mejor en headers, URLs y formularios.
Leer no valida
Puedes leer claims como iss, sub, aud o exp al decodificar el payload. Pero esa lectura no prueba la firma ni el emisor. El servidor debe verificar la firma o MAC con la clave correcta.
Cuida el alg
La aplicación debe decidir qué algoritmos acepta. Un alg inesperado debe fallar la validación.
Depuración clara
Divide por puntos, decodifica las dos primeras partes como Base64URL, añade padding si la herramienta lo pide y luego valida firma, emisor, audiencia y tiempos.