¿Qué es un token JWT?

Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL utilizado para transmitir información de forma segura entre partes. Los JWT se utilizan ampliamente en sistemas de autenticación, autorización de API y soluciones de inicio de sesión único (SSO).

Estructura del token: Cada JWT consta de tres partes separadas por puntos (.), formando una cadena como: xxxxx.yyyyy.zzzzz

Encabezado

Contiene el tipo de token y el algoritmo de firma (por ejemplo, HS256, RS256)

Carga Útil

Contiene las reclamaciones: declaraciones sobre el usuario y metadatos adicionales (por ejemplo, ID de usuario, correo electrónico, roles, tiempo de expiración)

Firma

Se utiliza para verificar que el token no ha sido alterado

Esta herramienta te permite decodificar e inspeccionar cualquier token JWT al instante, directamente en tu navegador — con privacidad y seguridad completas.

Cómo usar el Decodificador JWT

Pega Tu Token

Copia tu token JWT y pégalo en el campo de entrada. El token se decodifica automáticamente mientras escribes — no se requieren clics en botones.

Visualiza las Partes Decodificadas

El Encabezado y la Carga Útil se muestran como JSON formateado con resaltado de sintaxis. La Firma se muestra como una cadena Base64URL.

Verifica el Estado de Expiración

La barra de estado muestra si el token es válido, ha expirado o aún no es válido, junto con un indicador de tiempo relativo.

Explora las Reclamaciones

Pasa el ratón sobre cualquier nombre de reclamación reconocido (como iss, sub, exp) para ver una breve explicación de qué significa.

Copia Lo Que Necesites

Utiliza los botones de copia en cada panel para copiar el JSON decodificado o la firma a tu portapapeles.

Consejo de inicio rápido: Haz clic en el botón Ejemplo para cargar un token de demostración y ver cómo funciona el decodificador en acción.

Características

Decodificación en Tiempo Real

El token se decodifica al instante mientras pegas o escribes. No es necesario presionar un botón — los resultados se actualizan en tiempo real.

Paneles con Código de Colores

Cada parte del JWT se muestra en un panel separado con código de colores distintivo, lo que facilita distinguir el Encabezado, la Carga Útil y la Firma de un vistazo.

Inteligencia de Reclamaciones

Pasa el ratón sobre nombres de reclamaciones estándar para ver qué significan. El decodificador reconoce reclamaciones comunes de la especificación JWT, OpenID Connect y OAuth 2.0.

iss, sub, aud — Emisor, Asunto, Audiencia
exp, iat, nbf — Expiración, Emitido en, No antes de
name, email, role — Reclamaciones de usuario comunes

Análisis Automático de Marcas de Tiempo

Las marcas de tiempo Unix en la carga útil (como exp, iat, nbf) se anotan automáticamente con fechas legibles, para que no tengas que convertirlas manualmente.

Estado de Expiración

La barra de estado indica claramente si el token es actualmente válido, ha expirado, aún no es válido o no tiene expiración establecida, junto con una visualización de tiempo relativo.

Tus Datos Permanecen Privados

Todo el procesamiento ocurre en tu navegador — garantizando privacidad y seguridad completas.

Sin solicitudes al servidor — Tu token nunca se envía a ningún servidor
Sin almacenamiento — Nada se guarda ni se registra
Sin seguimiento — No recopilamos datos de uso

100% Del Lado del Cliente: Puedes verificar esto revisando la pestaña de red de tu navegador — no se realizan solicitudes cuando pegas un token.

Preguntas Frecuentes

¿Es seguro pegar mi token JWT aquí?

Sí, absolutamente. Esta herramienta procesa todo completamente en tu navegador. Tu token nunca se envía a ningún servidor, se almacena ni se registra. Puedes verificar esto revisando la pestaña de red de tu navegador — no se realizan solicitudes cuando pegas un token.

Procesamiento 100% del lado del cliente
Sin transmisión de datos a servidores
Sin almacenamiento ni registro
Código abierto y verificable

¿Puede esta herramienta verificar firmas JWT?

Esta herramienta es un decodificador, no un verificador. Decodifica y muestra el contenido del token pero no verifica la firma criptográfica. Para verificar una firma, necesitarías el secreto de firma o la clave pública.

Decodificador vs. Verificador: La decodificación lee el contenido del token, mientras que la verificación confirma la autenticidad del token usando claves criptográficas.

¿Qué algoritmos JWT son compatibles?

El decodificador funciona con cualquier JWT independientemente del algoritmo de firma. El algoritmo se muestra en la barra de estado después de decodificar.

Los algoritmos compatibles incluyen:

HMAC: HS256, HS384, HS512
RSA: RS256, RS384, RS512
ECDSA: ES256, ES384, ES512
RSA-PSS: PS256, PS384, PS512

¿Por qué muestra "Expirado" para mi token?

La reclamación exp (Tiempo de Expiración) del token contiene una marca de tiempo Unix. Si la hora actual es posterior a esa marca de tiempo, el token se considera expirado.

Esto es normal: La mayoría de los tokens tienen una vida útil limitada por razones de seguridad. Los tokens expirados deben ser actualizados o reemitidos por el servidor de autenticación.

¿Qué son los puntos de color junto a Encabezado, Carga Útil y Firma?

Los puntos de color te ayudan a distinguir visualmente las tres partes de un token JWT, siguiendo una convención común utilizada por herramientas JWT:

Rojo representa el Encabezado
Púrpura representa la Carga Útil
Cian representa la Firma