Decodificador de JWT

Decodifica y analiza tokens JWT al instante. Visualiza header, payload y estado de expiración. 100% en tu navegador, tus tokens están seguros.

Pega un token JWT arriba para decodificarlo.

Referencia

JSON Web Tokens (JWT)

Un JWT (JSON Web Token) es un formato de token compacto y seguro para URLs definido en RFC 7519. Consta de tres partes codificadas en base64url separadas por puntos: header.payload.signature. Los JWTs se usan ampliamente para autenticación e intercambio de información.

Estructura

Encabezado (Header) — objeto JSON con el tipo de token (typ) y el algoritmo de firma (alg), p.ej. HS256 o RS256. Carga útil (Payload) — objeto JSON con claims: claims registrados como iss (emisor), sub (sujeto), exp (expiración), iat (emitido el); y claims personalizados. Firma (Signature) — resultado de firmar el encabezado y payload codificados con una clave secreta o privada. Garantiza que el token no ha sido alterado.

⚠ Nota de seguridad

Decodificar no es lo mismo que verificar. Esta herramienta decodifica el token y muestra su contenido, pero no verifica la firma. Cualquiera puede crear un JWT con claims arbitrarios. Nunca confíes en los claims de un JWT sin verificar la firma en el servidor usando la clave secreta o pública correspondiente. Usa una librería como jsonwebtoken (Node.js) o PyJWT (Python) en producción.

Claims registrados de JWT

RFC 7519 define siete claims registrados: iss (issuer) — quién creó el token. sub (subject) — el usuario o entidad que el token representa. aud (audience) — el/los destinatario(s) previstos. exp (expiration time) — timestamp Unix después del cual el token no es válido. nbf (not before) — el token no es válido antes de este momento. iat (issued at) — cuándo se creó el token. jti (JWT ID) — un identificador único para prevenir ataques de repetición.

Privacidad

Toda la decodificación se ejecuta 100% en tu navegador. No se envían datos a ningún servidor.

← Volver a todas las herramientas