Decodificador JWT
Decodifica e inspecciona JSON Web Tokens.
Base64url encoded
Signature verification requires the secret key or public key, which is not available client-side. This tool only decodes — it does not verify signatures.
Decodificador JWT
Analiza los JSON Web Tokens en sus tres componentes — encabezado (header), carga útil (payload) y firma (signature) — para inspeccionar las reclamaciones y metadatos sin necesidad de un servicio backend. Gestiona la decodificación Base64url, formatea el JSON y muestra marcas de tiempo legibles para las reclamaciones temporales estándar (iat, exp, nbf).
¿Para qué se usa?
- Depuración de API: inspeccionar tokens de acceso de flujos OAuth 2.0 / OpenID Connect para verificar reclamaciones, alcances y expiración
- Resolución de problemas de autenticación: verificar si un token está expirado, emitido por el proveedor correcto (iss) o dirigido a la audiencia correcta (aud)
- Aprendizaje de la estructura JWT: entender cómo se componen los JWT con un desglose visual de cada parte
- CI/CD y DevOps: verificar tokens generados en pipelines antes de desplegar en producción
Guía paso a paso
- Pega tu token JWT en el campo de entrada (el prefijo Bearer se elimina automáticamente)
- El encabezado, la carga útil y la firma se decodifican instantáneamente
- Revisa las reclamaciones analizadas en la sección de carga útil
- Comprueba el estado de expiración mostrado con una insignia y tiempo relativo
- Copia secciones individuales o la salida decodificada completa
Cómo funciona
Un JWT consta de tres segmentos codificados en Base64url separados por puntos. Esta herramienta divide el token, decodifica cada segmento usando el alfabeto Base64url estándar y analiza el JSON resultante. Todo el procesamiento ocurre completamente en tu navegador — ningún dato se envía a ningún servidor. La herramienta elimina automáticamente los prefijos Bearer y muestra el estado de expiración en tiempo real. Nota: esta herramienta decodifica tokens pero no verifica firmas. La verificación de firma requiere la clave secreta o pública, que nunca debe introducirse en una herramienta web.
Consejos y mejores prácticas
- Puedes pegar el valor completo del encabezado Authorization — el prefijo Bearer se elimina automáticamente
- Las reclamaciones temporales (iat, exp, nbf) se muestran como marcas de tiempo UNIX y fechas legibles
- Usa esta herramienta junto con el convertidor de Fecha a Marca de Tiempo para crear valores de prueba para reclamaciones JWT
- Nunca pegues claves secretas de producción en ninguna herramienta web — solo pega el token en sí
Preguntas frecuentes
¿Es seguro pegar mi JWT aquí?
Sí. Todo se ejecuta 100% del lado del cliente en tu navegador. Ningún token se envía a ningún servidor, se almacena ni se registra. Puedes verificarlo consultando la pestaña Red en las herramientas de desarrollador de tu navegador.
¿Cuál es la diferencia entre decodificar y verificar un JWT?
Decodificar simplemente lee el encabezado y la carga útil mediante decodificación Base64url — cualquiera puede hacerlo. Verificar comprueba la firma contra un secreto (HMAC) o clave pública (RSA/EC) para confirmar que el token no ha sido alterado. Esta herramienta solo decodifica.
¿Cuáles son las reclamaciones JWT estándar?
Las reclamaciones registradas definidas en RFC 7519 son: iss (emisor), sub (sujeto), aud (audiencia), exp (expiración), nbf (no antes de), iat (emitido en) y jti (ID de JWT). Las aplicaciones pueden añadir cualquier reclamación personalizada que necesiten.
¿Puedo decodificar tokens expirados?
Sí. Los tokens expirados se decodifican normalmente — la herramienta muestra una insignia de Expirado e indica cuándo expiró el token con un indicador de tiempo relativo.
Privacidad y Seguridad
Esta herramienta utiliza FFmpeg compilado a WebAssembly (WASM). El binario WASM (~25MB) se descarga desde un CDN en el primer uso y se almacena en la caché de tu navegador. Todo el procesamiento de archivos ocurre localmente en tu dispositivo: tus archivos nunca se suben a ningún servidor. Esto lo hace seguro para archivos multimedia sensibles, privados o confidenciales. Los archivos grandes pueden tardar más en procesarse dependiendo de la CPU y la memoria disponible de tu dispositivo.