Saltar al contenido
ToolFarmToolFarm
Desarrollo

Decodificador JWT

Decodifica la cabecera y el payload de un JSON Web Token en tu navegador. Sin verificar la firma, nada sale de tu dispositivo.

2 min de lectura

Esta herramienta solo decodifica el token. NO verifica la firma, así que no puede decirte si el token es auténtico.

Qué hace esta herramienta

Pega un JSON Web Token y lee su cabecera y su payload como JSON formateado, al instante y totalmente en tu navegador. El decodificador separa los tres segmentos base64url, formatea el JSON y convierte las marcas de tiempo exp, iat y nbf en fechas legibles. Nunca verifica la firma y nunca envía el token a ningún sitio.

¿Trabajas con payloads de API? Decodifica valores con Base64, o formatea un cuerpo de respuesta con formateador JSON.

Para qué te sirve

  • Inspeccionar los claims de un token de acceso mientras depuras una API.
  • Comprobar cuándo se emitió un token y cuándo caduca.
  • Confirmar qué algoritmo y key id declara el token en su cabecera.
  • Leer el subject, los scopes o los claims personalizados de un token sin backend.

Cómo se usa

  1. Pega tu JSON Web Token en el área de entrada.
  2. Lee la cabecera y el payload decodificados como JSON formateado.
  3. Revisa los claims exp, iat y nbf convertidos a fechas legibles.
  4. Copia la cabecera o el payload con un solo clic.

Todo el trabajo ocurre dentro de tu navegador, sin subir archivos a ningún servidor. Ver más herramientas del mismo campo.

Otras herramientas que la gente suele usar en el mismo flujo.

Desarrollo
Desarrollo

Codificador y decodificador Base64

Codifica o decodifica texto en Base64, con opción de alfabeto URL-safe.

Popular
Desarrollo

Formateador JSON

Formatea, valida o minifica JSON desde tu propio navegador.

Desarrollo

Kit de UUIDs

Genera, valida y convierte UUIDs al instante. Soporta v4, v5, v7, NIL y MAX.

Popular
Desarrollo

Probador de regex

Prueba y depura expresiones regulares al vuelo, con grupos de captura.

Preguntas frecuentes

¿Esta herramienta verifica la firma?

No. Solo decodifica la cabecera y el payload para que puedas leerlos. Verificar la firma necesita la clave secreta o pública del emisor, y hacerlo en el navegador daría una falsa sensación de seguridad. Trata el resultado como informativo, nunca como prueba de que el token es auténtico.

¿Mi token se envía a un servidor?

No. La decodificación ocurre por completo en tu navegador con las funciones base64 integradas. El token nunca sale de tu dispositivo, algo importante porque los tokens de acceso son credenciales sensibles.

¿Qué significan exp, iat y nbf?

Son claims de tiempo registrados. iat es cuándo se emitió el token, exp es cuándo caduca y nbf es el momento antes del cual no debe aceptarse. Se guardan como segundos desde 1970, y la herramienta los convierte a fechas legibles.

¿Por qué mi token aparece como estructuralmente inválido?

Un JWT estándar tiene exactamente tres partes separadas por puntos: cabecera, payload y firma. Si tu entrada tiene otro número de partes, o un segmento no es base64url JSON válido, la herramienta lo marca como estructuralmente inválido y aun así muestra lo que ha podido decodificar.

Decodificador JWT · ToolFarm