Decodificador de JWT

Decodifica e inspecciona las cabeceras y el contenido de un JSON Web Token.

Cargando herramienta…

Decodificador de JWTPega un JWT para ver al instante su cabecera y su contenido decodificados, con las reclamaciones de tiempo iat, nbf y exp mostradas como fechas legibles y una insignia en vivo de expirado/válido. La decodificación ocurre por completo en tu navegador, así que los tokens no se envían a ningún sitio; recuerda que aquí no se verifica la firma, así que nunca confíes en el contenido hasta validarlo en el servidor.

¿Qué es Decodificador de JWT?

JWT Decoder es una herramienta en línea gratuita que decodifica e inspecciona JSON Web Tokens (JWT) para que los desarrolladores puedan leer el contenido de un token de acceso, un token de ID o un token bearer sin tener que adivinar. Pega un token en el formato estándar header.payload.signature y la herramienta decodifica en base64url el header y el payload, los muestra como JSON con formato legible, y presenta los claims temporales iat, nbf y exp como fechas comprensibles con una insignia en vivo de expirado/válido. Está pensada para ingenieros de backend y frontend, testers de QA e integradores de API que depuran flujos de autenticación, sesiones OAuth/OIDC o problemas de expiración de tokens. Ten en cuenta que es un decodificador, no un verificador: no comprueba la firma, por lo que solo sirve para inspección.

Cómo usar Decodificador de JWT

  1. Copia tu JWT (header.payload.signature) desde tu aplicación, las herramientas de desarrollo del navegador o una cabecera Authorization: Bearer.
  2. Pégalo en el área de texto 'JWT token'.
  3. Lee el JSON decodificado y con formato legible en las secciones Header y Payload debajo de la entrada.
  4. Si el payload incluye iat, nbf o exp, revisa las tarjetas Issued (iat), Not before (nbf) y Expires (exp), y la insignia de expirado/válido para ver la vigencia del token.
  5. Usa el botón Copiar en el Header o el Payload para copiar el JSON con formato, o haz clic en Limpiar para restablecer la entrada.

Ejemplos

Decodificar el header de un JWT

Entrada

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Salida

{
  "alg": "HS256",
  "typ": "JWT"
}

La sección Header muestra el JSON decodificado y con formato legible del primer segmento.

Leer los claims de expiración

Pega un token cuyo payload contenga exp/iat/nbf. La herramienta convierte cada claim en segundos epoch a una fecha local legible y muestra una insignia verde de 'válido' o roja de 'expirado' junto al valor Expires (exp), actualizada cada segundo.

Token mal formado

Entrada

not-a-jwt

Salida

Malformed token — expected header.payload.signature

Una cadena que no tenga al menos un segmento de header y otro de payload (sin separadores de punto) provoca este error en lugar de decodificarse.

Preguntas frecuentes

¿Esta herramienta verifica la firma del JWT?
No. Solo decodifica y muestra el header y el payload: no verifica la firma. Nunca confíes en un payload decodificado hasta que la firma se haya validado en el servidor; trata el resultado únicamente como inspección.
¿Qué formato de token espera?
Un JWT estándar con al menos una sección header.payload (header.payload.signature). Divide por los puntos y decodifica en base64url los dos primeros segmentos, por lo que la parte de la firma se ignora durante la decodificación.
¿Qué claims temporales muestra?
Presenta los claims numéricos estándar en segundos epoch iat (emitido en), nbf (no antes de) y exp (expira), dando formato a cada uno como una fecha local legible. Marca los tokens expirados y advierte cuando un token aún no es válido porque nbf está en el futuro. Las tarjetas de estadísticas solo aparecen cuando hay al menos uno de estos claims.
¿Mi token se sube o se envía a algún sitio?
No. Todo se ejecuta por completo del lado del cliente en tu navegador usando la decodificación base64 y JSON integrada: tu token nunca se sube a ningún servidor, lo que hace seguro inspeccionar tokens de acceso sensibles.
¿Por qué obtengo un error con un token que parece válido?
Si la entrada tiene menos de dos segmentos o el header/payload está vacío verás el mensaje 'Malformed token', y si un segmento no es JSON codificado en base64url válido verás un error 'invalid'. Asegúrate de haber pegado el token completo sin espacios adicionales ni comillas alrededor.

Herramientas relacionadas

Codificar / decodificar Base32 / Base58

Codifica texto a Base32 (RFC 4648) o Base58 (alfabeto de Bitcoin) y decodifícalo de vuelta, con UTF-8 y en tu navegador.

Codificar / decodificar Base64

Codifica texto a Base64 o decodifica Base64 de vuelta a texto (compatible con UTF-8).

Conversor de mayúsculas y contador

Cambia el uso de mayúsculas y minúsculas del texto y cuenta caracteres, palabras y líneas.

Formateador y minificador de código

Embellece o minifica HTML, CSS y JavaScript en tu navegador, con sangría de 2 espacios, 4 espacios o tabulaciones y compresión de JavaScript con Terser.