Decodificador de JWT

Pegue un token web JSON para decodificar al instante su encabezado, payload y claims. Todo se ejecuta en su navegador: su token nunca sale de su dispositivo.

Decodificador de JWT · 100% del lado del cliente · Sin subidas al servidor
Formato de JWT no válido
Encabezado Algoritmo y tipo de token
Payload Claims y datos
Firma
La verificación de la firma requiere su clave secreta y no se puede realizar de forma segura del lado del cliente. Esta herramienta solo decodifica: no confíe en tokens sin firmar en producción.

Cómo decodificar un token JWT en línea

JWT (token web JSON) es un formato compacto y seguro para URL que sirve para transmitir claims entre partes. Un JWT consta de tres segmentos codificados en Base64URL (encabezado, payload y firma) separados por puntos.

Qué contiene cada sección

  • Encabezado — Algoritmo (alg) y tipo de token (typ), por ejemplo, HS256 y JWT
  • Payload — Claims como sub (asunto), iss (emisor), exp (expiración) y cualquier campo personalizado que agregue su aplicación
  • Firma — Un hash criptográfico utilizado para verificar que el token no ha sido manipulado
  • Estado de caducidad — Se verifica automáticamente con la hora UTC actual mediante el claim exp

¿Por qué utilizar esta herramienta?

Pegue cualquier JWT y vea al instante un desglose codificado por colores de cada claim. La herramienta verifica la marca de tiempo exp automáticamente, por lo que puede saber de un vistazo si un token aún es válido; no se requiere decodificación manual de Base64.

Preguntas frecuentes

¿Mi token JWT se envía a algún servidor?

No. Toda la decodificación se realiza íntegramente en su navegador mediante JavaScript. Su token nunca sale de su dispositivo y nunca se transmite a ninguna parte.

¿Puede esta herramienta verificar las firmas JWT?

No. La verificación de firma requiere su clave secreta o pública y no se puede realizar de forma segura en un navegador. Esta herramienta decodifica (decodifica Base64URL) solo el encabezado y la carga útil.

¿Qué reclamos del JWT muestra esta herramienta?

Los reclamos estándar como sub (Asunto), iss (Emisor), exp (Expira), iat (Emitido en), nbf (No antes), aud (Audiencia) y jti (ID de JWT) se muestran con etiquetas descriptivas. También se muestran todos los reclamos personalizados.

¿Cómo verifico si un JWT ha caducado?

Pega tu token y mira la sección Carga útil. La herramienta lee automáticamente el reclamo de exp y muestra si el token es válido o venció, el tiempo restante o hace cuánto tiempo expiró.

¿Qué algoritmos JWT puede decodificar esta herramienta?

Todos los algoritmos JWT comunes, incluidos HS256, HS384, HS512, RS256, RS384, RS512, ES256 y otros, son compatibles para la decodificación. El campo alg del encabezado muestra qué algoritmo se utilizó para firmar el token.

Herramientas relacionadas