Decodificador JWT
Inspecciona el encabezado y los claims de un token JWT.
- Instantánea
- Gratis
- Privada (procesada localmente)
- Sin registro
Mira lo que tu token transporta realmente
Un JWT parece ruido — en realidad es JSON codificado en base64url, legible por cualquiera. Pega un token: la herramienta separa y decodifica el encabezado y el payload, formatea el JSON, convierte los timestamps en fechas y te dice si el token ha caducado.
Anatomía de un JWT
| Parte | Contenido | Ejemplo |
|---|---|---|
| Header | Algoritmo y tipo | {"alg":"HS256","typ":"JWT"} |
| Payload | Los claims (datos de negocio) | {"sub":"1234567890","exp":1716239022} |
| Firma | HMAC o firma asimétrica | SflKxwRJ… (binario codificado) |
Los claims registrados que conviene conocer
- iss (issuer): quién emitió el token — tu servidor de autenticación.
- sub (subject): a quién se refiere — el identificador del usuario.
- aud (audience): a quién va destinado — la API que debe aceptarlo.
- exp / nbf / iat: la ventana de validez temporal, en timestamps Unix.
Recordatorio de seguridad: decodificar no es verificar. Un token de contenido plausible puede estar falsificado; solo la verificación de firma en el servidor (con la clave y el algoritmo correctos) es fiable. No guardes secretos en el payload: es público.
Preguntas frecuentes
¿Qué es un JWT?
Un JSON Web Token (RFC 7519) es un token compacto compuesto por tres partes codificadas en base64url y separadas por puntos: un encabezado (algoritmo), un payload (los claims: identidad, caducidad…) y una firma que garantiza su integridad.
Decodificar un JWT, ¿es «romperlo»?
No. El encabezado y el payload no están cifrados, solo codificados en base64url: cualquiera puede leerlos. La seguridad del JWT reside en la firma, que impide la modificación, no la lectura.
¿Esta herramienta verifica la firma?
No, deliberadamente: decodifica y muestra el contenido, nada más. La verificación de la firma requiere la clave secreta o pública y debe hacerse en el servidor. Nunca confíes en un token solo por su contenido decodificado.
¿Qué significan exp, iat y nbf?
Son timestamps Unix: exp = fecha de caducidad, iat = fecha de emisión, nbf = fecha antes de la cual el token es inválido. La herramienta los convierte en fechas legibles e indica si el token ha caducado.
¿Es prudente pegar aquí un token real?
La decodificación es 100 % local; no se transmite nada. Por higiene, evita igualmente manipular tokens de producción válidos fuera de entornos seguros, y revoca cualquier token expuesto por accidente.