Decodificador JWT (Encabezado, Carga Útil, Token)

Inspecte instantáneamente el contenido de JWT. Vea reclamos, roles y fechas de vencimiento en un formato legible por humanos sin claves secretas.

Decodifica el encabezado y la carga útil de JWT con manejo de base64url y marcas de tiempo de reclamo legibles por humanos.

Decodifique JWTs (JSON Web Tokens) genéricos localmente para inspeccionar sus encabezados y cargas útiles. Esta herramienta analiza las secciones codificadas en Base64Url de su token y muestra el JSON decodificado, lo que facilita verificar roles de usuario, permisos o tiempos de vencimiento (`exp`). Maneja el formato automático de marcas de tiempo para que realmente pueda leer las fechas, todo sin enviar nunca sus tokens confidenciales a un servidor backend.

Como se mantiene esta pagina

  • Los pasos y la copia se comprueban contra el comportamiento actual de la herramienta.
  • Los limites del navegador, tamano de archivo o compatibilidad se documentan cuando importan.
  • Salvo que se indique lo contrario, los archivos y textos se procesan localmente en el navegador.

Inspeccionando JSON Web Tokens

JWT (JSON Web Tokens) son el estándar para la autenticación moderna sin estado. Permiten a los servidores verificar la identidad de un usuario sin almacenar datos de sesión en una base de datos.

Anatomía de un JWT:
Un token consta de tres partes separadas por puntos (.):

  1. Encabezado (Header): Describe el algoritmo de firma (por ejemplo, HS256).
  2. Carga útil (Payload/Claims): Los datos en sí. Contiene declaraciones como sub (sujeto), name, admin: true y exp (expiración).
  3. Firma (Signature): La cadena de verificación creada por el servidor para evitar manipulaciones.

Seguridad primero:
Los JWT están codificados en Base64Url, lo que significa que cualquiera con el token puede leer el contenido. Nunca pongas datos sensibles como contraseñas dentro de un JWT. Esta herramienta te ayuda a depurar qué declaraciones está enviando tu aplicación.

Funciones clave

  • Marcas de Tiempo Legibles: Los reclamos estándar como `exp` (vencimiento), `iat` (emitido en) y `nbf` (no antes de) se convierten automáticamente de marcas de tiempo Unix a cadenas de fecha locales.
  • Decodificación Segura del Lado del Cliente: Sus tokens se decodifican utilizando instrucciones de implementación de JavaScript directamente en su navegador. No se requieren claves privadas y ningún dato sale de su pestaña.
  • Estructura Codificada por Colores: Distingue visualmente el Encabezado (algoritmo), la Carga Útil (datos) y la Firma para ayudarle a comprender la estructura del token de un vistazo.

Preguntas frecuentes

¿Valida esto la firma?

No. Esta herramienta es un “decodificador”, no un “validador”. Le muestra lo que hay dentro del token, pero no verifica su integridad criptográfica sin la clave secreta.

¿Es seguro pegar tokens reales?

Sí, porque el procesamiento es 100% local. Sin embargo, como mejor práctica, evite pegar tokens de producción con PII confidencial en cualquier interfaz de terceros.

¿Qué pasa si el token es inválido?

La herramienta intentará decodificar cualquier parte que sea JSON válido. Si la cadena Base64 está malformada, verá un mensaje de error indicando que el token está corrupto.

Explorar el directorio completo