Site Tools

Decodificador de JWT

Ad Space

Los tokens se decodifican solo en tu navegador. Nunca pegues tokens de producción o personales en herramientas en línea que no controlas.

Ad Space

El Decodificador de JWT revela lo que hay dentro de un JSON Web Token sin enviarlo a ningún sitio. Pega un token y la herramienta lo divide en sus tres partes, decodifica el header y el payload en Base64URL y muestra ambos formateados como JSON. Interpreta automáticamente las claims de tiempo estándar — emitido (iat), no antes de (nbf) y caducidad (exp) — como fechas legibles y te avisa claramente cuando un token ha caducado. Recuerda que el payload de un JWT solo está codificado, no cifrado, así que cualquiera puede leerlo; esta herramienta nunca verifica la firma y se ejecuta por completo en tu navegador, manteniendo tus tokens en tu dispositivo.

Cómo usar el Decodificador de JWT

  1. Pega un JWT (header.payload.signature) en el cuadro de entrada.
  2. Lee el header y el payload decodificados, formateados como JSON.
  3. Comprueba el estado de caducidad y las fechas legibles de iat/nbf/exp.

Beneficios y Casos de Uso

  • Inspecciona rápidamente las claims y la caducidad al depurar la autenticación.
  • Entiende exactamente qué datos guarda una app en sus tokens.
  • Decodifica localmente en tu navegador — tu token nunca se envía a un servidor.

FAQ

¿Verifica la firma?

No. Solo decodifica el header y el payload (que son Base64URL, no cifrados). No valida la firma.

¿Es seguro pegar un token?

La decodificación es local en tu navegador, pero nunca pegues tokens reales de producción o personales en herramientas que no sean de tu total confianza.

¿Por qué es legible el payload?

El payload de un JWT solo está codificado en Base64URL, así que cualquiera puede leerlo. Nunca guardes datos sensibles en un JWT.