Decodificar JWT (JSON Web Token)
Decodifica la cabecera y el payload de un JSON Web Token online. Sin verificar la firma, gratis y en tu navegador, nada sale de tu dispositivo.
Esta herramienta solo decodifica el token. NO verifica la firma, así que no puede decirte si el token es auténtico.
Qué hace esta herramienta
Pega un JSON Web Token y lee su cabecera y su payload como JSON formateado, al instante y totalmente en tu navegador. El decodificador separa los tres segmentos base64url, formatea el JSON y convierte las marcas de tiempo exp, iat y nbf en fechas legibles. Nunca verifica la firma y nunca envía el token a ningún sitio.
¿Trabajas con payloads de API? Decodifica valores con Base64, o formatea un cuerpo de respuesta con formateador JSON.
Para qué te sirve
- Inspeccionar los claims de un token de acceso mientras depuras una API.
- Comprobar cuándo se emitió un token y cuándo caduca.
- Confirmar qué algoritmo y key id declara el token en su cabecera.
- Leer el subject, los scopes o los claims personalizados de un token sin backend.
Cómo se usa
- Pega tu JSON Web Token en el área de entrada.
- Lee la cabecera y el payload decodificados como JSON formateado.
- Revisa los claims exp, iat y nbf convertidos a fechas legibles.
- Copia la cabecera o el payload con un solo clic.
Todo el trabajo ocurre dentro de tu navegador, sin subir archivos a ningún servidor. Ver más herramientas del mismo campo.
Combina bien con
Otras herramientas que la gente suele usar en el mismo flujo.
- Codificar y Decodificar Base64
codificar y decodificar Base64
Imprescindible cuando depuras una API.
- Formatear y Validar JSON Online
formatear y validar JSON
Imprescindible cuando depuras una API.
- Generador y Validador de UUID
trabajar con UUIDs
Combina muy bien en flujos de desarrollo.
- Conversor de Timestamp Unix
convertir timestamps Unix y fechas
Combina muy bien en flujos de desarrollo.
- Generador de Contraseñas Seguras
generar una contraseña segura
Imprescindible cuando depuras una API.
Otras herramientas del mismo campo
DesarrolloCodificar y Decodificar Base64
Codifica y decodifica texto en Base64 online, con alfabeto URL-safe opcional. Todo en tu navegador, nada se sube a ningún servidor.
Formatear y Validar JSON Online
Formatea, valida y minifica JSON online. Embellece JSON desordenado o compáctalo en un clic, gratis y en tu navegador, sin subidas.
Generador y Validador de UUID
Genera, valida y convierte UUIDs online: v4, v5, v7, NIL y MAX. Al instante, gratis y en tu navegador, sin subidas a ningún servidor.
Conversor de Timestamp Unix
Convierte timestamps Unix a fechas legibles y al revés online, en segundos o milisegundos. Gratis y en tu navegador, sin subidas.
Preguntas frecuentes
¿Esta herramienta verifica la firma?
No. Solo decodifica la cabecera y el payload para que puedas leerlos. Verificar la firma necesita la clave secreta o pública del emisor, y hacerlo en el navegador daría una falsa sensación de seguridad. Trata el resultado como informativo, nunca como prueba de que el token es auténtico.
¿Mi token se envía a un servidor?
No. La decodificación ocurre por completo en tu navegador con las funciones base64 integradas. El token nunca sale de tu dispositivo, algo importante porque los tokens de acceso son credenciales sensibles.
¿Qué significan exp, iat y nbf?
Son claims de tiempo registrados. iat es cuándo se emitió el token, exp es cuándo caduca y nbf es el momento antes del cual no debe aceptarse. Se guardan como segundos desde 1970, y la herramienta los convierte a fechas legibles.
¿Por qué mi token aparece como estructuralmente inválido?
Un JWT estándar tiene exactamente tres partes separadas por puntos: cabecera, payload y firma. Si tu entrada tiene otro número de partes, o un segmento no es base64url JSON válido, la herramienta lo marca como estructuralmente inválido y aun así muestra lo que ha podido decodificar.

