Herramienta gratuita

Decodificador JWT Online

Decodifica cualquier JWT al instante. Header, payload, claims y verificación de expiración. Sin registro.

Hecho por

Miguel Ángel Colorado Marin

Full-Stack Developer · Guadalajara, España

Desarrollo aplicaciones web, herramientas digitales y proyectos completos — desde el diseño hasta el despliegue.

GitHubLinkedIn
Contáctame

¿Cómo usar el decodificador JWT?

  1. 1

    Pega tu token JWT

    Copia el token JWT completo (incluyendo las tres partes separadas por puntos) y pégalo en el área de texto. Puedes usar el botón «Cargar ejemplo» para probar con un JWT de muestra y ver cómo funciona la herramienta.

  2. 2

    El token se decodifica automáticamente

    En cuanto introduces el JWT, se divide por los puntos en sus tres partes: header, payload y signature. Las dos primeras se decodifican de base64url y se parsean como JSON para mostrarse formateado con resaltado de sintaxis.

  3. 3

    Revisa los claims y la expiración

    Si el payload contiene el claim exp (expiration time), la herramienta muestra automáticamente si el token ha expirado con la fecha exacta. También detecta iat (issued at) y otros claims estándar como sub, iss, aud y jti.

  4. 4

    Copia las partes que necesites

    Cada sección (header y payload) tiene su propio botón de copiar que exporta el JSON formateado. Esto es útil para depuración, documentación o para extraer información específica del token.

Preguntas frecuentes

¿Qué es un JWT?

JWT (JSON Web Token) es un estándar abierto (RFC 7519) para transmitir información de forma segura entre partes como un objeto JSON firmado. Se compone de tres partes codificadas en base64url separadas por puntos: header (tipo de token y algoritmo), payload (datos/claims) y signature (verificación de integridad). Es el estándar de facto para autenticación en APIs REST.

¿Por qué no se verifica la firma?

La verificación de la firma JWT requiere la clave secreta (HMAC) o la clave pública (RSA/ECDSA) con la que se firmó el token. Esta información nunca debe enviarse al cliente. Este decodificador solo analiza el contenido visible del token, que es lo que necesitas para depuración y análisis. Para verificar firmas, usa las librerías oficiales en tu backend.

¿Es seguro pegar mi JWT aquí?

Todo el procesamiento ocurre íntegramente en tu navegador. Ningún dato se envía a ningún servidor. Sin embargo, por seguridad, evita pegar JWTs de producción en cualquier herramienta online si el token contiene información sensible o tiene privilegios altos. Úsalo con tokens de prueba o desarrollo.

¿Qué son los claims estándar?

Los claims estándar de JWT (definidos en RFC 7519) son: iss (issuer, emisor), sub (subject, sujeto), aud (audience, audiencia), exp (expiration time, expiración), nbf (not before, no antes), iat (issued at, emitido el) y jti (JWT ID, identificador único). Son opcionales pero muy recomendados para tokens de autenticación.

¿Puedo decodificar JWTs cifrados (JWE)?

No, actualmente solo se soporta la decodificación de JWTs firmados (JWS), que son los más comunes. Los JWTs cifrados (JWE) tienen 5 partes y requieren la clave privada para descifrar el payload, por lo que no es posible decodificarlos sin esa clave.

Incrusta el decodificador en tu web

Integra este decodificador JWT en cualquier página web con un simple iframe:

<iframe
  src="https://miguelacm.es/embed/jwt-decoder"
  width="100%"
  height="600"
  frameborder="0"
  title="JWT Decoder"
></iframe>
Ver embed en nueva pestaña →
Ver código en GitHub