Decodificador JWT — Decodifica JSON Web Tokens
Pega un token JWT para decodificar e inspeccionar su cabecera y payload al instante. Visualiza claims como ID de usuario, rol y expiración en JSON legible. Útil para depurar problemas de autenticación, inspeccionar el contenido de un token durante el desarrollo y entender qué lleva realmente un JWT. Esta herramienta solo decodifica — no valida firmas.
Cómo Decodificar un JWT
- 1Pega tu token JWT en el campo de entrada
- 2La cabecera y el payload se decodifican y muestran como JSON formateado
- 3Inspecciona claims como exp, iat, sub e iss
- 4Nota: esta herramienta no valida la firma
Ventajas
- Decodifica cabecera y payload al instante en JSON legible
- Muestra todos los claims en JSON formateado
- Maneja codificación Base64 estándar y URL-safe (Base64url)
- Se ejecuta completamente en tu navegador — el token nunca se transmite a ningún lugar
Preguntas Frecuentes
¿Qué es un JWT?
Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL que permite transmitir claims entre partes. Consta de tres partes codificadas en Base64url separadas por puntos: cabecera (algoritmo y tipo), payload (claims como ID de usuario, rol y expiración) y firma. Los JWT son la base de la autenticación sin estado en APIs REST y aplicaciones de página única (SPA).
¿Es seguro pegar mi JWT aquí?
Esta herramienta se ejecuta completamente en tu navegador y no envía datos a ningún servidor. Aun así, trata los JWT como credenciales sensibles: un token válido y no expirado puede otorgar acceso a recursos protegidos. Prefiere pegar tokens de entornos de prueba o staging. Si depuras un token de producción, invalídalo o cámbialo en cuanto termines.
¿Por qué esta herramienta no valida la firma?
Validar una firma JWT requiere la clave secreta (HS256) o la clave pública (RS256, ES256), que nunca deberías compartir con ninguna herramienta externa. La cabecera y el payload son texto plano en Base64url: no hace falta ningún secreto para leerlos. La verificación real de la firma debe ocurrir en el servidor, dentro del código de autenticación de tu aplicación.
¿Qué claims habituales llevan los JWT?
Los claims estándar incluyen: iss (emisor), sub (sujeto, normalmente el ID de usuario), aud (audiencia), exp (expiración como timestamp Unix), iat (emitido en) y nbf (no válido antes de). Además de estos registrados, los tokens suelen incluir claims personalizados como rol, email o permisos según las necesidades de la aplicación.
¿Cuál es la diferencia entre decodificar y verificar un JWT?
Decodificar un JWT consiste en leer su cabecera y payload: cualquiera puede hacerlo sin ninguna clave. Verificar un JWT significa comprobar que la firma es válida, que el token no ha expirado y que fue emitido para la audiencia correcta. Nunca uses un JWT solo decodificado para tomar decisiones de autorización — siempre verifícalo en el servidor.
¿Debo almacenar datos sensibles en el payload?
No. El payload de un JWT está codificado en Base64url, no cifrado: cualquiera que tenga el token puede leer su contenido. Evita incluir contraseñas, claves de API, datos de pago u otra información confidencial. Si necesitas transportar datos sensibles en un token, usa JWE (JSON Web Encryption), que sí cifra el payload.