Decodificador JWT
Decodifica e inspecciona JSON Web Tokens sin enviarlos a ningún servidor. Visualiza header, payload, signature e información de seguridad relevante.
Decodifica header, payload y signature
Decodifica tokens localmente
Detecta el algoritmo (HS256, RS256, ES256, etc.)
Análisis JWT en tiempo real
Resalta claims estándar (iss, sub, exp, iat, aud)
Comprobación de algoritmo y caducidad
Token JWT
Pega tu token JWT abajo para decodificar e inspeccionar su contenido
Salida decodificada
Introduce un token JWT y haz clic en "Decodificar token"
Token JWT
Herramientas Relacionadas
Decodificador JWT — Preguntas Frecuentes
¿Qué es un JWT (JSON Web Token)?
JWT es un estándar abierto (RFC 7519) para transmitir información entre partes de forma segura como un objeto JSON. Consta de tres partes: header (algoritmo y tipo de token), payload (claims) y signature (verificación). Los JWTs se usan habitualmente para autenticación e intercambio de información.
¿Es seguro decodificar JWTs aquí?
Sí. Toda la decodificación ocurre íntegramente en tu navegador. Ningún dato del JWT se envía a un servidor. Recuerda, eso sí, que los JWTs no están cifrados — solo están codificados en base64. Cualquiera puede decodificarlos, así que nunca almacenes información sensible en el payload.
¿Qué significa cada parte?
Header: contiene el tipo de token (JWT) y el algoritmo de firma. Payload: contiene los claims (afirmaciones sobre el usuario y metadatos adicionales). Signature: se usa para verificar que el token no ha sido manipulado. La verificación de la firma requiere la clave secreta.
¿Cómo puedo verificar la firma?
La verificación de la firma requiere la clave secreta (para algoritmos HMAC) o la clave pública (para algoritmos RSA/ECDSA) usada al firmar el token. Esta herramienta solo decodifica JWTs — no puede verificar firmas sin las claves apropiadas.
¿Qué es un JWT (JSON Web Token)?
JWT es un estándar abierto (RFC 7519) para transmitir información entre partes de forma segura como un objeto JSON. Consta de tres partes: header (algoritmo y tipo de token), payload (claims) y signature (verificación). Los JWTs se usan habitualmente para autenticación e intercambio de información.
¿Es seguro decodificar JWTs aquí?
Sí. Toda la decodificación ocurre íntegramente en tu navegador. Ningún dato del JWT se envía a un servidor. Recuerda, eso sí, que los JWTs no están cifrados — solo están codificados en base64. Cualquiera puede decodificarlos, así que nunca almacenes información sensible en el payload.
¿Qué significa cada parte?
Header: contiene el tipo de token (JWT) y el algoritmo de firma. Payload: contiene los claims (afirmaciones sobre el usuario y metadatos adicionales). Signature: se usa para verificar que el token no ha sido manipulado. La verificación de la firma requiere la clave secreta.
¿Cómo puedo verificar la firma?
La verificación de la firma requiere la clave secreta (para algoritmos HMAC) o la clave pública (para algoritmos RSA/ECDSA) usada al firmar el token. Esta herramienta solo decodifica JWTs — no puede verificar firmas sin las claves apropiadas.