Esta guía conecta herramientas y conceptos para trabajar más rápido con seguridad web: hashes, JWT, Base64, contraseñas y validación de payloads (JSON/XML).
Herramientas PRO recomendadas (acceso directo)
- Validador / Analizador de JWT — decodifica, valida exp y prueba firma con secret.
- Generador de Hash (MD5/SHA1/SHA256/SHA512) — para checksums y comparaciones rápidas.
- Conversor Base64 (Encode/Decode) — útil para inspeccionar tokens y payloads.
- Generador de Contraseñas Seguras — crea secretos robustos.
- Validador JSON — valida payloads de APIs antes de firmar/enviar.
- Validador XML — ideal para SOAP/legacy e integraciones.
Mapa mental rápido: qué usar y cuándo
| Necesidad | Qué usar | Herramienta |
|---|---|---|
| Ver el contenido de un token | JWT + Base64 | JWT + Base64 |
| Comprobar integridad (checksum) | SHA256/SHA512 | Hash |
| Generar un secret fuerte | Random + longitud | Passwords |
| Evitar errores de payload | Validación previa | JSON / XML |
JWT: decodificar, validar expiración y probar firmas
Para depurar JWT sin perder tiempo: decodifica header/payload, revisa exp y prueba la firma con tu secret.
👉 Abre directamente el Validador / Analizador de JWT.
Hash: cuándo usar MD5/SHA y cuándo NO
Para integridad y checksums usa SHA256/SHA512. Para contraseñas no uses SHA “a pelo”: usa algoritmos de hashing de contraseñas (bcrypt/argon2) en tu backend.
👉 Calcula hashes rápido con el Generador de Hash.
Base64: no es cifrado (pero sí muy útil)
Base64 es codificación. Sirve para transportar datos binarios/JSON en texto. En JWT lo verás constantemente.
👉 Usa el Conversor Base64 para inspecciones rápidas.
Contraseñas y secretos: política mínima recomendada
- 16+ caracteres para secrets (JWT/HMAC)
- Excluir ambiguos si es para humanos (0/O, 1/l)
- Rotación periódica si es clave de servicio
👉 Genera un secret fuerte con el Generador de Contraseñas Seguras.
Validación de payloads: JSON y XML
Muchos bugs de integración se resuelven validando antes de enviar: campos faltantes, comas, encoding, tags mal cerradas.
Artículos del cluster (para ir a lo concreto)
- Cómo verificar un JWT y su firma con secret
- SHA256 vs bcrypt vs argon2: cuál usar y cuándo
- Base64: qué es, para qué sirve y cómo decodificar
- Validar JSON: errores comunes y cómo arreglarlos
- Validar XML (XSD): errores comunes y soluciones
- Cómo crear passwords seguras y secrets para APIs
FAQ
¿Base64 cifra?
No. Base64 solo codifica. Cualquiera puede decodificarlo.
¿Puedo usar SHA256 para guardar contraseñas?
No recomendado. Para contraseñas usa bcrypt/argon2 con salt/cost.
¿Cómo sé si un JWT expiró?
Revisa exp (timestamp). Puedes validarlo en el Analizador JWT.