Skip to content
Seguridad · Autenticacion

Decodificador JWT

Pega un JWT para decodificar instantáneamente su cabecera, carga útil y firma. Inspecciona los claims registrados, comprueba el estado de expiración y verifica firmas. Todo se ejecuta en tu navegador; nada se transmite.

In-browser only Web Crypto API RFC 7519
Todo el decodificado ocurre en tu navegador — ningún dato del token se transmite.

Guía

Cómo usar

  1. 1
    Pega tu JWT

    Copia un JWT de tu aplicación, respuesta de API o DevTools del navegador y pégalo en el campo de entrada. La decodificación comienza automáticamente después de una breve pausa.

  2. 2
    Inspecciona los paneles decodificados

    La cabecera y la carga útil aparecen como JSON formateado con resaltado de sintaxis. Pasa el cursor sobre las claves de claims registrados (iss, sub, exp…) para ver sus descripciones RFC 7519.

  3. 3
    Comprueba la expiración y validez

    Una etiqueta de color en el panel de carga útil muestra si el token sigue siendo válido, ha expirado o aún no está activo (basado en los claims exp y nbf).

  4. 4
    Verifica la firma

    Abre el panel Verificar firma, elige Secreto HMAC, Clave pública PEM o JWK, introduce tu clave y pulsa Verificar para confirmar la firma criptográficamente.

  5. 5
    Copia los datos decodificados

    Usa el botón Copiar en cada panel para poner el JSON de cabecera o carga útil decodificada en tu portapapeles.

Referencia

Estructura de un JWT explicada

Estructura de un JWT explicada
PartContentsEncoding
CabeceraJSON codificado en Base64URL que especifica el tipo de token (typ) y el algoritmo de firma (alg). Siempre es el primer segmento.Base64URL
Carga útilJSON codificado en Base64URL que contiene los claims — aserciones sobre el sujeto y datos personalizados.Base64URL
FirmaLa firma criptográfica sobre cabecera.carga-útil, usando el algoritmo declarado en la cabecera. Prueba que el token no ha sido manipulado.Base64URL

Preguntas frecuentes

¿Qué es un JWT?
Un JSON Web Token (JWT, RFC 7519) es un formato de token compacto y seguro para URL, compuesto por tres segmentos codificados en Base64URL separados por puntos: cabecera, carga útil y firma. Se usa comúnmente para autenticación e intercambio de información en APIs web.
¿Es seguro pegar mi JWT en esta herramienta?
Sí. Toda la decodificación y verificación ocurre completamente en tu navegador usando las API integradas. No se envía ningún dato a ningún servidor — puedes abrir la pestaña Red de tu navegador y confirmar que no se realiza ninguna solicitud.
¿Qué significa "alg: none"?
Un valor de algoritmo "none" significa que el token no lleva ninguna firma criptográfica. Cualquier servidor que acepte dicho token sin verificar la firma es vulnerable a un fallo de seguridad crítico. Este decodificador marca la condición con una etiqueta de advertencia ámbar.
¿Por qué la etiqueta de expiración muestra "Expirado" aunque el token todavía funciona?
La expiración del token se comprueba con el reloj local de tu dispositivo. Si tu reloj está adelantado con respecto al del servidor, un token que el servidor considera válido puede aparecer aquí como expirado.
¿Qué algoritmos de firma se admiten para la verificación?
HMAC (HS256, HS384, HS512), RSA PKCS#1 v1.5 (RS256, RS384, RS512), ECDSA (ES256, ES384, ES512) y RSA-PSS (PS256, PS384, PS512). Los tokens con alg: none no pueden verificarse.
¿Puedo decodificar un JWT creado con una biblioteca diferente?
Sí. La decodificación JWT solo requiere decodificación Base64URL y análisis JSON — es completamente estándar e interoperable.
¿Cuál es la diferencia entre decodificar y verificar un JWT?
Decodificar lee el contenido del token invirtiendo la codificación Base64URL — cualquiera puede hacerlo sin conocer la clave secreta. Verificar prueba criptográficamente que el token fue firmado por el titular de la clave privada, confirmando su autenticidad e integridad.
¿Puedo usar esta herramienta sin conexión?
Sí. Una vez cargada la página, la decodificación, las comprobaciones de expiración y la verificación de firma funcionan sin conexión de red.