JotTools .
Español
English Español Türkçe Français Italiano Português
Todas las herramientas

Decodificador JWT

Decodificador JWT online y gratis. Pega un JSON Web Token y lee al instante su header y payload como JSON limpio. Funciona en tu navegador, sin subir nada.

Qué hace el decodificador JWT

Esta herramienta toma un JSON Web Token y lo divide al instante en partes legibles para que veas qué hay realmente dentro. Pega un token y te muestra el header decodificado (el algoritmo y el tipo de token) y el payload (los claims, como sujeto, emisor, caducidad y cualquier campo personalizado), cada uno con formato de JSON limpio e indentado. Es útil para desarrolladores de backend y frontend, testers de QA y cualquiera que depure un flujo de autenticación y necesite confirmar qué lleva un token antes de confiar en él.

Una nota sobre el alcance: este decodificador lee un token, no verifica la firma. Decodificar no es lo mismo que validar, así que nunca trates un payload decodificado como prueba de que el token es genuino. Úsalo para inspeccionar y diagnosticar, no para autenticar.

Cómo usar el decodificador JWT

  1. Copia tu JWT desde tu aplicación, los logs, el almacenamiento del navegador o una respuesta de API.
  2. Pégalo en la caja de Entrada. Un token se ve como tres bloques base64url unidos por puntos: header.payload.signature.
  3. El resultado decodificado aparece de inmediato en la caja de Salida, con el bloque HEADER y el bloque PAYLOAD como JSON legible. No hay botón que pulsar.
  4. Pulsa Copiar para tomar la salida decodificada para un ticket, una nota o un comentario de código.

Si ves un error sobre un header.payload.signature esperado, el token está incompleto o pegaste solo una parte. Asegúrate de incluir las tres secciones separadas por puntos.

Por qué decodificar JWT aquí

Se ejecuta por completo en tu navegador. El token se decodifica con JavaScript local y nunca se envía a ningún sitio, lo que importa mucho cuando los tokens pueden contener datos personales o conceder acceso. Eso significa que es privado por defecto, instantáneo, gratis y sin registro. La salida se muestra con formato para que las marcas de tiempo y los claims sean fáciles de leer.

Consejo: los campos exp e iat son marcas de tiempo Unix en segundos. Multiplícalas por 1000 para leerlas como una fecha normal en la mayoría de lenguajes, una forma rápida de comprobar si un token ya caducó. Encuentra más utilidades en la categoría de desarrollo.

Preguntas frecuentes

¿El decodificador JWT verifica la firma del token?
No. Esta herramienta decodifica el header y el payload para que puedas leer los claims, pero no verifica la firma. Decodificar no es validar, así que no trates un payload decodificado como prueba de que el token es auténtico. Verifica la firma en tu servidor con la clave de firmado.
¿Se envía mi token a un servidor cuando lo decodifico?
No. La decodificación ocurre por completo en tu navegador con JavaScript local. El token nunca sale de tu dispositivo, algo importante porque los JWT pueden llevar datos personales o derechos de acceso.
¿Por qué obtengo un error de 'JWT no válido'?
Un JWT debe tener tres secciones base64url unidas por puntos (header.payload.signature). Si pegaste solo una parte del token o una cadena mal formada, el decodificador no puede encontrar el header y el payload. Pega el token completo e inténtalo de nuevo.
¿Cómo leo los campos exp e iat del payload?
Son marcas de tiempo Unix medidas en segundos. Multiplica el valor por 1000 para convertirlo a milisegundos y luego dale formato de fecha en tu idioma para comprobar cuándo se emitió el token o cuándo caduca.