Decodificador de JWT (JSON Web Token) online

Pega un JWT para ver el encabezado y el payload decodificados, además de la validez (exp). La decodificación es local, nada se envía a servidores.

Para qué sirve

El decodificador JWT lee un JSON Web Token y muestra el header y el payload de forma legible. Pega el token y mira las tres partes separadas por punto decodificarse al instante.

Cada parte del JWT está codificada en Base64URL. La herramienta decodifica esas partes y muestra las claims del payload, como exp, iat y sub, en JSON formateado.

Solo decodifica, no valida

Este es el punto crítico: la herramienta solo DECODIFICA el token, NO valida la firma ni confirma si el token es auténtico o confiable. Ver las claims no significa que el token sea válido.

La verificación de la firma necesita la clave secreta o pública y debe hacerse en el backend. Nunca confíes en un JWT solo porque pudiste leerlo aquí, cualquiera puede falsificar un token decodificable.

Claims comunes

  • exp: la fecha de expiración del token, como timestamp.
  • iat: el momento en que se emitió el token.
  • sub: el identificador del sujeto (normalmente el usuario).
  • iss y aud: el emisor y el público objetivo del token.

Privacidad

La decodificación ocurre localmente en tu navegador, no se envía nada a servidores. Puedes depurar tokens de desarrollo con seguridad, sin exponer su contenido.

Preguntas frecuentes

¿La herramienta valida la firma del token?
No. Solo decodifica el header y el payload. La validación de la firma necesita la clave y debe hacerse en el servidor.
Si puedo leer las claims, ¿el token es confiable?
No. Decodificar es distinto de validar. Cualquiera puede crear un token decodificable; solo la verificación de la firma prueba la autenticidad.
¿El token se envía a algún servidor?
No. La decodificación ocurre por completo en tu navegador.