Decodificador de JWT (JSON Web Token) online
Pega un JWT para ver el encabezado y el payload decodificados, además de la validez (exp). La decodificación es local, nada se envía a servidores.
Para qué sirve
El decodificador JWT lee un JSON Web Token y muestra el header y el payload de forma legible. Pega el token y mira las tres partes separadas por punto decodificarse al instante.
Cada parte del JWT está codificada en Base64URL. La herramienta decodifica esas partes y muestra las claims del payload, como exp, iat y sub, en JSON formateado.
Solo decodifica, no valida
Este es el punto crítico: la herramienta solo DECODIFICA el token, NO valida la firma ni confirma si el token es auténtico o confiable. Ver las claims no significa que el token sea válido.
La verificación de la firma necesita la clave secreta o pública y debe hacerse en el backend. Nunca confíes en un JWT solo porque pudiste leerlo aquí, cualquiera puede falsificar un token decodificable.
Claims comunes
- exp: la fecha de expiración del token, como timestamp.
- iat: el momento en que se emitió el token.
- sub: el identificador del sujeto (normalmente el usuario).
- iss y aud: el emisor y el público objetivo del token.
Privacidad
La decodificación ocurre localmente en tu navegador, no se envía nada a servidores. Puedes depurar tokens de desarrollo con seguridad, sin exponer su contenido.
Preguntas frecuentes
- ¿La herramienta valida la firma del token?
- No. Solo decodifica el header y el payload. La validación de la firma necesita la clave y debe hacerse en el servidor.
- Si puedo leer las claims, ¿el token es confiable?
- No. Decodificar es distinto de validar. Cualquiera puede crear un token decodificable; solo la verificación de la firma prueba la autenticidad.
- ¿El token se envía a algún servidor?
- No. La decodificación ocurre por completo en tu navegador.