Decodificador e Inspector JWT
Pega cualquier token JWT y decodifica instantáneamente el header, payload y claims. Estado de expiración, timestamps y todos los claims mostrados claramente.
JWT Token
Consejo: Ctrl+Enter para decodificar. Tu token nunca sale de tu navegador.
Acerca del Decodificador JWT
Un JWT (JSON Web Token) consiste en tres partes codificadas en Base64URL: header, payload y firma. Esta herramienta decodifica el header y payload al instante, muestra todos los claims en formato legible, convierte timestamps Unix a fechas humanas, e indica si el token es válido, expirado o aún no activo.
Cómo Funciona
- Copia tu token JWT desde tu aplicación, DevTools del navegador o Postman
- Pégalo en el campo de entrada
- Haz clic en Decodificar Token o presiona Ctrl+Enter
- Inspecciona el header, payload, claims y estado de expiración
Características Clave
- Decodifica el header y payload JWT al instante
- Muestra el estado de expiración: válido, expirado o aún no válido
- Convierte automáticamente timestamps exp, iat, nbf a fechas legibles
- Muestra todos los claims estándar y personalizados
- Mostrar / ocultar firma por seguridad
- 100% en el navegador — los tokens nunca salen de tu dispositivo
Preguntas Frecuentes
- ¿Cómo decodifico un token JWT?
- Un JWT tiene tres partes separadas por puntos. Las dos primeras (header y payload) son JSON codificado en Base64URL — pega el token completo aquí y se decodifican instantáneamente en tu navegador. La tercera parte es la firma y no puede decodificarse en datos significativos sin la clave secreta.
- ¿Qué claims contiene un JWT?
- Los claims JWT estándar incluyen: sub (sujeto/ID de usuario), iss (emisor), aud (audiencia), exp (tiempo de expiración), iat (emitido en), nbf (no antes de) y jti (ID JWT). La mayoría de proveedores de autenticación como Auth0, Firebase y Cognito añaden claims personalizados para roles, email y permisos.
- ¿Es seguro pegar mi token JWT en esta herramienta?
- Sí — esta herramienta funciona completamente en tu navegador. Tu token se decodifica localmente usando JavaScript y nunca se envía a ningún servidor. Dicho esto, trata los tokens JWT como contraseñas: evita compartirlos públicamente, rótalos regularmente y usa tiempos de expiración cortos en producción.
- ¿Cómo verifico si un token JWT está expirado?
- El claim exp en el payload es un timestamp Unix (segundos desde 1970). Si exp es menor que el tiempo actual, el token está expirado. Esta herramienta realiza esa verificación automáticamente y muestra un badge claro de Válido o Expirado junto con la fecha y hora exacta de expiración.