Decodificador JWT

Decodifica e inspecciona tokens JSON Web — encabezado, payload y expiración

¿Qué es y cómo funciona?

Un decodificador de JWT toma un JSON Web Token y muestra qué hay dentro: la cabecera (algoritmo y tipo de token), el payload (los claims — ID de usuario, roles, fecha de expiración) y la firma. Los JWT son el estándar de facto para autenticación sin estado en APIs modernas y aplicaciones de página única: el servidor firma el token una vez, y cada petición posterior demuestra la identidad llevándolo, sin necesidad de almacenar sesiones. Un JWT son solo tres segmentos codificados en Base64Url separados por puntos — lo que significa que cualquiera puede decodificarlo y leerlo; solo la firma requiere la clave secreta.

Esta herramienta decodifica cabecera y payload al instante y resalta los claims registrados, convirtiendo fechas numéricas como exp, iat y nbf en timestamps legibles para que veas de un vistazo si un token ha caducado. La decodificación ocurre por completo en tu navegador — el token no se envía a ningún sitio, lo cual importa porque los tokens de producción dan acceso real.

Casos de uso

• Depurar errores 401: decodifica el token que envía tu app para comprobar si está caducado (exp), aún no es válido (nbf) o le falta un claim necesario.
• Inspeccionar tokens de terceros: ve exactamente qué datos de usuario y scopes pone un proveedor OAuth/OpenID Connect dentro de su access token o ID token.
• Verificar una integración: confirma que tu backend emite tokens con la audiencia (aud), emisor (iss) y claims de rol correctos antes de salir a producción.

Preguntas frecuentes

¿Es seguro pegar un JWT aquí?

La decodificación se ejecuta íntegramente en tu navegador — el token nunca sale de tu dispositivo. Aun así, trata los tokens de producción como contraseñas: dan acceso hasta que caducan. Si puedes, prueba con tokens caducados o de staging.

¿Por qué se puede leer el token sin la clave secreta?

Los JWT están firmados, no cifrados. Base64Url es una codificación que cualquiera puede invertir — la clave secreta solo hace falta para crear o verificar la firma. Nunca pongas datos sensibles (contraseñas, tarjetas) en el payload de un JWT; quien tenga el token puede leerlo.

¿Esta herramienta verifica la firma?

No — decodifica el contenido. Verificar la firma requiere el secreto (HMAC) o la clave pública (RSA/ECDSA) y debe hacerse en el servidor. Un token decodificado que parece correcto puede estar falsificado si tu backend no verifica.

¿Qué son exp, iat y nbf?

Claims de tiempo registrados, como timestamps Unix: iat es cuándo se emitió el token, exp cuándo caduca y nbf ("not before") el momento más temprano en que es válido. El decodificador convierte los tres en fechas legibles y marca los tokens caducados.

Desarrollador

Generador de UUID · Conversor de timestamps · Codificador Base64 · Decodificador Base64 · Generador de hash · Conversor de colores