Decodificador de JWT

Decodifica la cabecera y el payload de un JWT e inspecciona exp/iat (sin verificación).

Los tokens se decodifican localmente en tu navegador y no se sube nada, pero evita pegar secretos o tokens de producción reales en cualquier herramienta web.

¿Necesitas crear y firmar un token? Prueba el JWT Signer.

Acerca de Decodificador de JWT

Este decodificador JWT divide cualquier JSON Web Token en sus segmentos de cabecera, payload y firma, y los muestra como JSON limpio y legible. Pega un token (con o sin el prefijo "Bearer ") y decodifica los segmentos base64url al instante, luego expone las claims de tiempo estándar — exp, iat y nbf — como fechas UTC legibles con insignias que indican si el token está expirado, activo o aún no es válido. Está pensado para desarrolladores backend, ingenieros de API y testers de QA que necesitan depurar cabeceras de autenticación, inspeccionar el contenido de un token o confirmar una expiración sin recurrir a una librería del lado del servidor. Úsalo como un analizador JWT rápido o un decodificador de tokens en línea durante la depuración local. La decodificación ocurre localmente en tu navegador, así que el token que pegas nunca sale de tu equipo y nada se sube.

Características

• Decodifica la cabecera y el payload del JWT en JSON formateado y resaltado
• Analiza las claims exp, iat y nbf y las muestra como marcas de tiempo UTC legibles
• Marca los tokens como Expirado, Válido, Activo o Aún no válido con insignias de color
• Acepta tokens con o sin el prefijo Bearer inicial
• Muestra el segmento de firma sin procesar por separado para inspeccionarlo
• Advierte con claridad que decodificar nunca verifica la firma ni la autenticidad de un token
• Botones de copia para el JSON de la cabecera y el payload, más un control para Limpiar

Cómo usar Decodificador de JWT

1. Pega tu JWT en el cuadro de entrada del JSON Web Token.
2. Lee la cabecera y el payload decodificados que se muestran como JSON formateado.
3. Revisa la sección de Claims para ver las fechas de emisión, no-antes y expiración, y las insignias de estado.
4. Usa los botones de Copiar para tomar el JSON de la cabecera o el payload, o Limpiar para empezar de nuevo.

Ejemplo

Entrada

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IkphbmUiLCJpYXQiOjE1MTYyMzkwMjJ9.signature

Salida

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:
{
  "sub": "1234",
  "name": "Jane",
  "iat": 1516239022
}

El decodificador divide el token y muestra la cabecera y el payload como JSON; iat aparece como una fecha legible.

Errores comunes y solución de problemas

• Ves un error que indica que el token necesita al menos dos segmentos separados por puntos. — Un JWT debe ser cabecera.payload.firma. Confirma que copiaste el token completo y que los puntos no se eliminaron.
• El decodificador informa que un segmento no es base64url válido o no es JSON válido. — Asegúrate de que no se hayan perdido caracteres ni codificado en URL durante el traslado, y de que pegaste el token en sí y no un objeto o comillas que lo rodean.
• Esperabas verificación, pero la herramienta dice que la firma no se comprueba. — Esto es un decodificador, no un validador. Solo lee el contenido del token; usa una librería de firma o verificación para confirmar la autenticidad.
• Un token aparece como Expirado aunque parezca reciente. — La claim exp está en segundos UTC y se compara con la hora actual. Revisa la fecha UTC mostrada frente a tu reloj local y tu zona horaria.

Preguntas frecuentes

¿Qué es un decodificador JWT y qué muestra?

Un decodificador JWT lee un JSON Web Token y revela su contenido. Este decodificador formatea la cabecera y el payload completos y resalta las claims de tiempo estándar exp, iat y nbf como fechas UTC legibles con insignias de estado.

¿Cómo decodifico un JWT con el prefijo Bearer?

Solo pega el valor completo de la cabecera Authorization. El decodificador JWT quita automáticamente el prefijo 'Bearer ' inicial antes de decodificar, así que no necesitas recortarlo primero.

¿El decodificador JWT verifica la firma del token?

No. Solo decodifica y muestra la cabecera, el payload y las claims. Nunca verifica la firma, así que decodificar por sí solo nunca prueba que un token sea auténtico.

¿Por qué mi token aparece como Aún no válido en el decodificador JWT?

Tiene una claim nbf (not before) con una hora todavía en el futuro, así que el token aún no está activo. La insignia se actualiza cuando esa hora ha pasado.

¿Mi token se envía a algún lugar cuando uso el decodificador JWT?

No. El decodificador JWT se ejecuta por completo en tu navegador y el token que pegas nunca sale de tu equipo, sin seguimiento y sin subir nada a un servidor.

Herramientas relacionadas

• Firmador de JWT — Crea y firma un JWT (HS256/384/512) a partir de un payload y un secreto — Web Crypto.
• Codificar / Decodificar Base64 — Codificación y decodificación Base64 segura en UTF-8.
• Generador de hash — SHA-256 / SHA-1 / SHA-384 / SHA-512 mediante la Web Crypto API.
• Generador de TOTP / 2FA — Genera contraseñas de un solo uso basadas en tiempo (códigos 2FA) desde un secreto base32.
• Generador de contraseñas — Genera contraseñas fuertes y aleatorias con un medidor de fortaleza (cripto-seguro).
• Conversor de marca de tiempo Unix — Convierte entre marcas de tiempo Unix y fechas legibles (local y UTC).
• Analizador de URL — Descompone una URL en sus partes y lista los parámetros de consulta.
• Formateador de JSON — Embellece, minimiza y valida JSON con la ubicación de los errores.

Todas las herramientas de ArrayKit

• Formateador de JSON
• Visor de árbol JSON
• Visor de JSON
• JSON a TypeScript
• JSON a CSV
• Escapar / Desescapar JSON
• Imagen a PDF
• PDF a imágenes
• Combinar PDF
• Dividir PDF
• Optimizador de imágenes
• Girar PDF
• Organizar PDF
• Agregar números de página
• Marca de agua en PDF
• Recortar PDF
• PDF a texto
• Comparar PDF
• Codificar / Decodificar Base64
• Codificar / Decodificar URL
• Escapar / Desescapar HTML
• Conversor de base numérica
• Generador de código QR
• Conversor de marca de tiempo Unix
• Generador de UUID
• Explicador de cron
• Reloj mundial y conversor de zonas horarias
• YAML ↔ JSON
• Vista previa de Markdown
• Probador de regex
• Conversor de colores CSS
• Comparar texto
• Conversor de MDX
• Formateador de CSS / SCSS
• Formateador de JS / TS
• Formateador de HTML
• Formateador de XML
• Formateador de SQL
• Formateador de GraphQL
• Formateador de Dockerfile
• Formateador de consultas MongoDB
• Decodificador de JWT
• Generador de hash
• Generador de contraseñas
• cURL a Fetch
• Analizador de URL
• Conversor de mayúsculas y minúsculas
• Generador de Lorem Ipsum
• Generador de datos de prueba
• Calculadora de CIDR / subredes
• Calculadora de chmod
• Generador de .gitignore
• Estados HTTP y tipos MIME
• Verificador de contraste
• JSON a código
• Generador de TOTP / 2FA
• Conversor de formato de imagen
• Visor y eliminador de EXIF
• Renderizador de diagramas Mermaid
• Optimizador de SVG
• Firmador de JWT
• Generador de Open Graph
• Conversor de IPv6 ↔ IPv4
• Comprimir PDF