Gratis en línea JWT Decoder
Decodifica e inspecciona tokens JWT en línea. Visualiza el Header, los claims del Payload y el estado de expiración al instante. 100 % del lado del cliente — tu token nunca abandona el navegador.
100% lado del cliente · Tus datos nunca salen de tu navegadorCómo usar JWT Decoder
Pega tu JWT en el campo de entrada. Los JWT tienen el aspecto de tres cadenas Base64url separadas por puntos: header.payload.signature.
- Haz clic en Decodificar o pulsa Ctrl/Cmd+Enter para analizar el token.
- El panel Header muestra el algoritmo y el tipo de token.
- El panel Payload muestra todos los claims, con el estado de expiración resaltado.
- La sección Signature muestra la firma en bruto — no se realiza verificación (requiere tu clave secreta).
Usa Cargar ejemplo para probar un token de demostración sin pegar tus propias credenciales.
Preguntas frecuentes
¿Qué es un JWT?
Un JSON Web Token (JWT) es un formato de token compacto y seguro para URL, utilizado para autenticación y autorización. Consta de tres partes codificadas en Base64url separadas por puntos: un Header (algoritmo), un Payload (claims) y una Signature (firma).
¿Esta herramienta verifica la firma JWT?
No. La verificación de la firma requiere la clave secreta y debe realizarse en el servidor. Esta herramienta solo decodifica el Header y el Payload — muestra los claims pero no puede confirmar si el token fue firmado legítimamente.
¿Mi JWT se envía a algún servidor?
No. El token se decodifica completamente en tu navegador mediante operaciones de cadena de JavaScript. Nunca se transmite ningún dato a un servidor externo.
¿Qué significa "próximo a expirar"?
Si el claim exp (expiración) del token está a menos de 5 minutos de la hora actual, la herramienta muestra un aviso de "Próximo a expirar". Los tokens expiran en la marca de tiempo Unix exacta establecida en exp.
¿Por qué se muestra la firma pero no se verifica?
La verificación de firmas HMAC y RSA requiere la clave secreta o pública, que nunca deberías pegar en una herramienta web. Los bytes de firma en bruto se muestran únicamente con fines informativos.
¿Qué claims suele contener el Payload?
Los claims registrados más comunes incluyen sub (sujeto), iat (emitido en), exp (expiración), nbf (no antes de), iss (emisor) y aud (audiencia). Las aplicaciones también añaden claims privados personalizados según sus necesidades.