Idioma
English English Vietnamese (Tiếng Việt) Vietnamese (Tiếng Việt) Chinese (简体中文) Chinese (简体中文) Portuguese (Brazil) (Português do Brasil) Portuguese (Brazil) (Português do Brasil) Spanish (Español) Spanish (Español) Indonesian (Bahasa Indonesia) Indonesian (Bahasa Indonesia)

Decodifica e inspecciona JSON Web Tokens al instante. Mira la cabecera, el payload y la firma con explicaciones de los claims y el estado de caducidad, todo en tu navegador.

Decodificar JWT — Lee cualquier token al instante

Este decodificador de JWT te permite pegar cualquier JSON Web Token y leer al instante su cabecera, su payload y su firma directamente en el navegador. Está pensado para personas que desarrollan y depuran autenticación, autorización de API o flujos de inicio de sesión único, y necesitan ver con exactitud qué contiene un token.

Un JWT tiene tres partes separadas por puntos: la Cabecera (tipo de token y algoritmo de firma), el Payload (los claims — ID de usuario, correo, roles, caducidad y más) y la Firma (que sirve para verificar que el token no fue manipulado). El decodificador divide y formatea las tres partes en cuanto escribes, con explicaciones de los claims y fechas legibles para ahorrarte las búsquedas.

Privado por diseño: la decodificación ocurre por completo en tu navegador usando el análisis Base64URL integrado. Tu token nunca se sube, almacena ni registra — abre la pestaña de red y verás que no se hace ninguna petición cuando pegas.

Cómo decodificar un JWT

1

Pega tu token

Suelta tu JWT en el campo Token Codificado. Se decodifica automáticamente mientras escribes — sin botones que pulsar. Pulsa Ejemplo para cargar un token de demostración si solo quieres ver cómo funciona.

2

Lee las partes decodificadas

La Cabecera y el Payload aparecen como JSON formateado con resaltado de sintaxis, cada uno en su propio panel diferenciado por color. La Firma se muestra como su cadena Base64URL en bruto.

3

Comprueba el estado

La barra de estado muestra el algoritmo de firma y el tipo de token, además de si el token está Válido, Caducado, Aún No Válido o si no tiene caducidad (Sin Caducidad), con un tiempo relativo como "Caduca en 2 horas".

4

Explora y copia

Pasa el cursor sobre cualquier nombre de claim reconocido — como iss, sub o exp — para ver qué significa. Usa los botones de copia para obtener la cabecera, el payload o la firma por separado.

Funciones

Decodificación en tiempo real

El token se analiza al instante mientras lo pegas o escribes — los resultados se actualizan en vivo, sin botones que pulsar.

Paneles por color

La Cabecera, el Payload y la Firma tienen cada uno su propio panel con un color distinto, para que las tres partes se distingan de un vistazo.

Resaltado de sintaxis JSON

Las claves, cadenas, números, booleanos y nulos se resaltan por color en la cabecera y el payload decodificados para leerlos con facilidad.

Claims explicados al pasar el cursor

Los claims estándar de la especificación JWT, OpenID Connect y OAuth 2.0 — como iss, sub, aud, exp, iat, nbf y jti — muestran una breve descripción al pasar el cursor.

Marcas de tiempo legibles

Las marcas de tiempo Unix como exp, iat y nbf se anotan en línea con una fecha legible, así nunca las conviertes a mano.

Estado de caducidad

Una insignia clara marca el token como Válido, Caducado, Aún No Válido o Sin Caducidad, con una cuenta atrás en tiempo relativo.

Algoritmo y tipo a la vista

El algoritmo de firma (HS256, RS256, ES256 y más) y el tipo de token se leen directamente de la cabecera y se muestran en la barra de estado.

Copia con un clic

Copia la cabecera o el payload decodificados, o la firma por separado, con un solo clic.

Token de ejemplo

Carga un token de demostración listo para usar y ve el decodificador en acción antes de pegar el tuyo.

Totalmente en el navegador

Cada token se decodifica localmente en tu navegador — nada se envía a un servidor, se guarda ni se rastrea.

Preguntas frecuentes

¿Es seguro decodificar un JWT aquí en línea?

Sí. Este decodificador se ejecuta por completo en tu navegador — tu token nunca se envía a ningún servidor, se almacena ni se registra. Puedes confirmarlo abriendo la pestaña de red de tu navegador: no se hace ninguna petición cuando pegas un token.

¿Decodificar un JWT verifica la firma?

No. Esto es un decodificador, no un verificador. Lee y muestra el contenido del token, pero no comprueba la firma criptográfica. Para verificar una firma necesitas el secreto de firma (para HMAC) o la clave pública (para RSA/ECDSA).

¿Puedo decodificar un JWT sin la clave secreta?

Sí. Decodificar solo lee la cabecera y el payload, que son Base64URL en texto plano — no hace falta ninguna clave. Solo se necesita un secreto o una clave pública para verificar un token, no para leer lo que hay dentro.

¿El payload del JWT está cifrado o solo es Base64?

Un JWT firmado estándar no está cifrado — la cabecera y el payload están simplemente codificados en Base64URL, así que cualquiera puede leerlos. La firma solo demuestra que el token no se ha alterado. Nunca pongas secretos en el payload de un JWT a menos que uses tokens JWE cifrados.

¿Cuáles son las tres partes de un JWT?

Un JWT son tres cadenas Base64URL unidas por puntos: la Cabecera (tipo de token y algoritmo de firma), el Payload (los claims sobre el usuario y el token) y la Firma (un hash usado para detectar manipulaciones). El decodificador muestra cada parte en su propio panel.

¿Cómo leo el claim de caducidad (exp)?

El claim exp es una marca de tiempo Unix. El decodificador lo anota en línea con una fecha legible y muestra una insignia de Caducado, Válido o Aún No Válido con un tiempo relativo, para que sepas el estado de un token de un vistazo sin convertir el número tú mismo.

¿Qué algoritmos de firma son compatibles?

La decodificación funciona con cualquier JWT sin importar el algoritmo — HS256/384/512, RS256/384/512, ES256/384/512, PS256 y otros. El algoritmo se lee de la cabecera y se muestra en la barra de estado después de decodificar el token.

Procesado localmente
HEADER
PAYLOAD
SIGNATURE
Pega tu token JWT y se decodifica al instante
Pasa el cursor sobre los nombres de los claims para ver qué significan
Las marcas de tiempo como exp e iat se convierten en fechas legibles automáticamente
Pulsa Ejemplo para cargar un token de demostración
Tu token se decodifica por completo en tu navegador — nada se envía a ningún servidor
¿Quieres aprender más? Leer documentación →
1/6
Comience a escribir para buscar...
Buscando...
No se encontraron resultados
Pruebe con otras palabras clave