Decodificador JWT
Pega un JWT para inspeccionar su header, payload y claims. La decodificación ocurre totalmente en tu navegador — tu token nunca se envía a un servidor.
Se decodifica localmente en tu navegador. Nada se envía a ningún lado.
Header
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}Signature
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
Verificar la firma requiere el secret o la clave pública. Esta herramienta no verifica firmas — solo decodifica.
¿Qué es un JWT?
Un JSON Web Token (JWT) es una forma compacta y segura para URL de transmitir claims entre dos partes. Tiene tres partes — header, payload y signature — separadas por puntos. El header y payload son JSON codificados en base64url. La firma se calcula con el algoritmo del header y un secret o clave privada, permitiendo al receptor verificar que el token no fue alterado. Los JWT se usan comúnmente para autenticación e intercambio de información en APIs REST.
Claims JWT comunes
issIssuer (emisor)Quién emitió el token — normalmente una URL del servidor de auth.
subSubject (asunto)Sobre quién es el token — normalmente el ID del usuario.
audAudience (audiencia)Para quién es el token — la API o servicio que lo aceptará.
expExpiration (expiración)Timestamp Unix después del cual el token no debe aceptarse.
nbfNot Before (no antes de)Timestamp Unix antes del cual el token no debe aceptarse.
iatIssued At (emitido en)Timestamp Unix cuando se emitió el token.
jtiJWT IDIdentificador único del token — útil para prevenir replay attacks.
FAQ del decodificador JWT
¿Es seguro pegar mi JWT aquí?
Sí. La decodificación ocurre totalmente en tu navegador con JavaScript — el token nunca se envía a nuestro servidor. Puedes verificarlo abriendo DevTools → Network mientras decodificas. Aun así, evita pegar tokens de sistemas en producción en cualquier decodificador online.
¿Esta herramienta verifica la firma?
No. Verificar la firma requiere el secret o clave pública, que nunca deberías pegar en una herramienta online. Verifica firmas en tu propio backend con la clave pública del emisor (algoritmos asimétricos) o tu secret compartido.
¿Qué algoritmos soporta esta herramienta?
Todos. La herramienta solo decodifica las partes JSON base64url, así que funciona con cualquier algoritmo de firma (HS256, RS256, ES256, EdDSA, etc.). El algoritmo aparece en el header — busca el campo `alg`.
¿Por qué mi token es más corto que otros?
La longitud del JWT depende del contenido del payload (más claims = más largo) y el algoritmo de firma (firmas RSA son más largas que HMAC). Un token compacto con pocos claims firmado con HS256 puede ser menor a 200 caracteres. Tokens con muchos claims o firmas RSA suelen pasar los 500.
¿Cuál es la diferencia entre JWT y JWS/JWE?
JWS (JSON Web Signature) está firmado pero no cifrado — cualquiera puede leer el payload. JWE (JSON Web Encryption) cifra el payload. La mayoría de "JWTs" en la práctica son JWS — firmados pero visibles. Esta herramienta decodifica JWS. Los JWE cifrados no pueden decodificarse sin la clave de descifrado.