Decodificador de JWT

Decodifica el encabezado y el payload de un JWT en tu navegador y comprueba la expiración y los claims: los tokens nunca salen de tu dispositivo.

#development
Solo decodificación: la firma NO se verifica. Tu token nunca sale del navegador.

Acerca de Decodificador de JWT

Pega un token JWT y ve al instante lo que contiene: el encabezado decodificado con el algoritmo de firma, el payload completo con cada claim, y las marcas de tiempo registradas (iat, exp, nbf) traducidas a fechas legibles. La herramienta también te dice de un vistazo si el token ya expiró o cuánto le queda: se acabó copiar segundos epoch en un conversor aparte mientras depuras.

Los JWT suelen llevar identificadores de sesión, datos de usuario y permisos de API, así que pegar uno en un sitio web desconocido es un riesgo de seguridad real. Este decodificador lo analiza todo localmente en tu navegador: el token nunca se transmite, registra ni almacena, lo que lo hace seguro para inspeccionar tokens de producción reales al depurar flujos de inicio de sesión, integraciones OAuth, errores de expiración y claims mal configurados. Ten en cuenta que la decodificación solo lee el token: la firma no se verifica.

Características

  • Encabezado y payload decodificados lado a lado
  • Claims iat, exp y nbf convertidos a fechas legibles
  • Estado de expirado o válido-hasta claro de un vistazo
  • Maneja tanto claims estándar como personalizados
  • El token se analiza localmente: nunca sale de tu navegador
  • Gratis, al instante y sin registro

Cómo decodificar un JWT online

  1. Copia el JWT desde tu app, la respuesta de la API o el almacenamiento del navegador.
  2. Pega el token completo en el cuadro de entrada.
  3. Lee de inmediato el encabezado y el payload decodificados.
  4. Comprueba las fechas iat y exp traducidas y el estado de expiración.
  5. Revisa los claims personalizados para confirmar que tu flujo de autenticación los establece bien.

Preguntas frecuentes

¿Es seguro pegar aquí un JWT real?

Sí. El token se divide y decodifica en Base64 por completo dentro de tu navegador con JavaScript: ninguna petición lo lleva a un servidor, y nada se registra ni almacena. Dicho esto, trata los tokens de producción activos como contraseñas: esta herramienta no los filtrará, pero evita pegarlos en herramientas que no puedan hacer la misma promesa.

¿Esta herramienta verifica la firma del JWT?

No. Decodifica el encabezado y el payload para que puedas leer los claims, pero no comprueba la firma, porque la verificación requiere el secreto o la clave pública del emisor. Nunca confíes en el contenido de un token para decisiones de autorización sin verificar su firma en el servidor con la clave adecuada.

¿Por qué puedo leer un JWT sin la clave secreta?

Porque los JWT están codificados, no cifrados. El encabezado y el payload son simplemente JSON codificado en Base64Url que cualquiera puede decodificar; el secreto solo produce la firma que demuestra que el token no fue manipulado. Por eso los datos sensibles nunca deberían ir en el payload de un JWT, salvo que el token esté además cifrado como JWE.

¿Qué significan iat, exp y nbf?

Son claims de marca de tiempo registrados, medidos en segundos epoch de Unix: iat es cuándo se emitió el token, exp cuándo expira y nbf el momento antes del cual no debe aceptarse. Este decodificador convierte los tres a tu fecha y hora locales y señala automáticamente los tokens expirados.

¿Por qué mi token no se decodifica?

Un JWT válido tiene exactamente tres secciones Base64Url separadas por puntos: encabezado, payload y firma. La decodificación falla cuando el token se truncó al copiarlo, viene envuelto en comillas o con el prefijo 'Bearer ', o directamente no es un JWT. Pega solo el token en bruto y asegúrate de que los dos puntos sobrevivieron a la copia.