Hashing & Crypto

Decodificador JWT

Inspeccione los Tokens Web JSON (JWT) para comprender su contenido. Descodifique cualquier JWT en sus tres componentes constitutivos: encabezado (algoritmo y tipo de token), carga útil (reclamaciones y datos) y firma. Visualice las marcas de tiempo en formato legible por humanos y verifique la estructura del token. Útil para depurar flujos de autenticación, comprender tokens de API y verificar reclamaciones JWT durante el desarrollo.

JavaScript Requerido

Esta herramienta requiere JavaScript para funcionar. Por favor, habilita JavaScript en la configuración de tu navegador para usar Decodificador JWT.

¿Por qué JavaScript? Esta herramienta procesa tus archivos completamente en tu navegador usando WebAssembly — nada se sube a servidores. Este enfoque centrado en la privacidad requiere que JavaScript esté habilitado.

¿Qué hace esta herramienta?

El Decodificador JWT analiza y muestra el contenido de los Tokens Web JSON sin verificar la firma (lo cual requiere la clave pública del emisor). Divide los tres componentes separados por puntos codificados en base64url, decodifica cada uno a JSON y los presenta en un formato legible. Las reclamaciones JWT estándar (caducidad, fecha de emisión, no antes) se resaltan con marcas de tiempo legibles por humanos. La herramienta valida la estructura del JWT y reporta tokens malformados con información de error específica.

Cómo funciona

Un JWT consta de tres partes separadas por puntos: header.payload.signature. Cada parte está codificada en base64url (base64 seguro para URL). La herramienta divide por puntos, decodifica cada parte utilizando decodificación base64url (convirtiendo - a +, _ a /, agregando relleno) y la analiza como JSON. El encabezado típicamente contiene alg (algoritmo) y typ (tipo). La carga útil contiene reclamaciones como sub (sujeto), iss (emisor), exp (caducidad), iat (emitido en). La firma se muestra como base64 sin verificación. Las marcas de tiempo se convierten a visualización local y UTC.

Características

Decodifica secciones de encabezado, carga útil y firma
Formatea el JSON decodificado de manera clara
Resalta la caducidad (exp), la fecha de emisión (iat) y no antes (nbf) con tiempos legibles por humanos
Detecta JWTs malformados con mensajes de error útiles
100% en el lado del cliente — su token nunca sale del navegador
Valida la estructura estándar del JWT
Copia secciones decodificadas individualmente

Cómo usar

1

Pegue su JWT

Ingrese un token (formato: eyJ...xxxxx.yyyyy.zzzzz). Tres partes separadas por puntos. La mayoría de los JWT comienzan con 'eyJ' en base64url.
2

Revise las secciones decodificadas

El encabezado muestra el algoritmo (HS256, RS256, etc.) y el tipo. La carga útil muestra todas las reclamaciones y datos. La firma se muestra como base64.
3

Verifique las marcas de tiempo

exp (caducidad), iat (emitido en), nbf (no antes) se muestran como marcas de tiempo Unix y fechas legibles por humanos con tiempo relativo.
4

Verifique la estructura

Si el JWT está malformado, verá un error específico indicando qué parte falló al decodificar o analizar.

Casos de uso comunes

Depurar problemas de autenticación

Inspeccione JWTs de flujos OAuth, sistemas SSO o autenticación personalizada para verificar reclamaciones, revisar caducidad y depurar fallos de validación de tokens.

Desarrollo de API

Descodifique los tokens que recibe su API para comprender su estructura, verificar las reclamaciones que está revisando y depurar la lógica de autorización.

Aprenda la estructura del JWT

Examine JWTs reales para comprender cómo se construyen, qué aspecto tienen las reclamaciones estándar y cómo se especifican los diferentes algoritmos.

Monitoreo de caducidad de tokens

Compruebe rápidamente cuándo caduca un token sin escribir código, útil para pruebas manuales de API con tokens que tienen vidas limitadas.

Consejos y buenas prácticas

Esta herramienta solo decodifica — no verifica firmas. Cualquier persona puede crear un JWT con cualquier carga útil. Para seguridad, su aplicación debe verificar la firma utilizando la clave pública del emisor
exp (caducidad) está en segundos Unix. Si exp está en el pasado, el token ha caducado y debe ser rechazado
Algoritmos comunes: HS256 (HMAC con SHA-256, simétrico), RS256 (firma RSA, asimétrico), ES256 (firma ECDSA)
Nunca confíe en el contenido de un JWT no verificado para decisiones de seguridad — siempre verifique la firma criptográficamente

Preguntas frecuentes

¿Esto verifica la firma?

No. La verificación de firma requiere la clave pública del emisor (para RS256/ES256) o la clave secreta (para HS256). Esta herramienta solo decodifica y muestra. No puede verificar criptográficamente que el token sea auténtico.

¿Mi token se registra?

No. La decodificación ocurre completamente en su navegador mediante JavaScript. El token nunca se envía a ningún servidor ni se registra en ningún lugar.

¿Qué son exp, iat, nbf?

Reclamaciones de tiempo estándar del JWT: exp = tiempo de caducidad (token inválido después), iat = emitido en (cuando se creó), nbf = no antes (token inválido antes). Todos en segundos Unix desde la época.

¿Por qué mi JWT falla al decodificarse?

Problemas comunes: puntos faltantes (no es un JWT), caracteres base64url inválidos, JSON malformado en la carga útil. Verifique que copiaste el token completo incluyendo las tres partes.

Herramientas relacionadas

base64 Hashing & Crypto hash generator Hashing & Crypto json formatter Hashing & Crypto