Decodificar JWT — Lee cualquier token al instante
Este decodificador de JWT te permite pegar cualquier JSON Web Token y leer al instante su cabecera, su payload y su firma directamente en el navegador. Está pensado para personas que desarrollan y depuran autenticación, autorización de API o flujos de inicio de sesión único, y necesitan ver con exactitud qué contiene un token.
Un JWT tiene tres partes separadas por puntos: la Cabecera (tipo de token y algoritmo de firma), el Payload (los claims — ID de usuario, correo, roles, caducidad y más) y la Firma (que sirve para verificar que el token no fue manipulado). El decodificador divide y formatea las tres partes en cuanto escribes, con explicaciones de los claims y fechas legibles para ahorrarte las búsquedas.
Cómo decodificar un JWT
Pega tu token
Suelta tu JWT en el campo Token Codificado. Se decodifica automáticamente mientras escribes — sin botones que pulsar. Pulsa Ejemplo para cargar un token de demostración si solo quieres ver cómo funciona.
Lee las partes decodificadas
La Cabecera y el Payload aparecen como JSON formateado con resaltado de sintaxis, cada uno en su propio panel diferenciado por color. La Firma se muestra como su cadena Base64URL en bruto.
Comprueba el estado
La barra de estado muestra el algoritmo de firma y el tipo de token, además de si el token está Válido, Caducado, Aún No Válido o si no tiene caducidad (Sin Caducidad), con un tiempo relativo como "Caduca en 2 horas".
Explora y copia
Pasa el cursor sobre cualquier nombre de claim reconocido — como iss, sub o exp — para ver qué significa. Usa los botones de copia para obtener la cabecera, el payload o la firma por separado.
Funciones
Decodificación en tiempo real
El token se analiza al instante mientras lo pegas o escribes — los resultados se actualizan en vivo, sin botones que pulsar.
Paneles por color
La Cabecera, el Payload y la Firma tienen cada uno su propio panel con un color distinto, para que las tres partes se distingan de un vistazo.
Resaltado de sintaxis JSON
Las claves, cadenas, números, booleanos y nulos se resaltan por color en la cabecera y el payload decodificados para leerlos con facilidad.
Claims explicados al pasar el cursor
Los claims estándar de la especificación JWT, OpenID Connect y OAuth 2.0 — como iss, sub, aud, exp, iat, nbf y jti — muestran una breve descripción al pasar el cursor.
Marcas de tiempo legibles
Las marcas de tiempo Unix como exp, iat y nbf se anotan en línea con una fecha legible, así nunca las conviertes a mano.
Estado de caducidad
Una insignia clara marca el token como Válido, Caducado, Aún No Válido o Sin Caducidad, con una cuenta atrás en tiempo relativo.
Algoritmo y tipo a la vista
El algoritmo de firma (HS256, RS256, ES256 y más) y el tipo de token se leen directamente de la cabecera y se muestran en la barra de estado.
Copia con un clic
Copia la cabecera o el payload decodificados, o la firma por separado, con un solo clic.
Token de ejemplo
Carga un token de demostración listo para usar y ve el decodificador en acción antes de pegar el tuyo.
Totalmente en el navegador
Cada token se decodifica localmente en tu navegador — nada se envía a un servidor, se guarda ni se rastrea.
Preguntas frecuentes
¿Es seguro decodificar un JWT aquí en línea?
Sí. Este decodificador se ejecuta por completo en tu navegador — tu token nunca se envía a ningún servidor, se almacena ni se registra. Puedes confirmarlo abriendo la pestaña de red de tu navegador: no se hace ninguna petición cuando pegas un token.
¿Decodificar un JWT verifica la firma?
No. Esto es un decodificador, no un verificador. Lee y muestra el contenido del token, pero no comprueba la firma criptográfica. Para verificar una firma necesitas el secreto de firma (para HMAC) o la clave pública (para RSA/ECDSA).
¿Puedo decodificar un JWT sin la clave secreta?
Sí. Decodificar solo lee la cabecera y el payload, que son Base64URL en texto plano — no hace falta ninguna clave. Solo se necesita un secreto o una clave pública para verificar un token, no para leer lo que hay dentro.
¿El payload del JWT está cifrado o solo es Base64?
Un JWT firmado estándar no está cifrado — la cabecera y el payload están simplemente codificados en Base64URL, así que cualquiera puede leerlos. La firma solo demuestra que el token no se ha alterado. Nunca pongas secretos en el payload de un JWT a menos que uses tokens JWE cifrados.
¿Cuáles son las tres partes de un JWT?
Un JWT son tres cadenas Base64URL unidas por puntos: la Cabecera (tipo de token y algoritmo de firma), el Payload (los claims sobre el usuario y el token) y la Firma (un hash usado para detectar manipulaciones). El decodificador muestra cada parte en su propio panel.
¿Cómo leo el claim de caducidad (exp)?
El claim exp es una marca de tiempo Unix. El decodificador lo anota en línea con una fecha legible y muestra una insignia de Caducado, Válido o Aún No Válido con un tiempo relativo, para que sepas el estado de un token de un vistazo sin convertir el número tú mismo.
¿Qué algoritmos de firma son compatibles?
La decodificación funciona con cualquier JWT sin importar el algoritmo — HS256/384/512, RS256/384/512, ES256/384/512, PS256 y otros. El algoritmo se lee de la cabecera y se muestra en la barra de estado después de decodificar el token.
Aún no hay comentarios. ¡Sé el primero en comentar!