Decodificador JWT
Decodifica e inspecciona JSON Web Tokens sin enviarlos a ningún servidor. Visualiza header, payload, signature e información de seguridad relevante.
Decodifica header, payload y signature
Decode tokens locally
Detecta el algoritmo (HS256, RS256, ES256, etc.)
Real-time JWT parsing
Resalta claims estándar (iss, sub, exp, iat, aud)
Algorithm & expiry check
JWT Token
Paste your JWT token below to decode and inspect its contents
Decoded Output
Enter a JWT token and click "Decode Token"
JWT Token
Decodificador JWT — Preguntas Frecuentes
¿Qué es un JWT (JSON Web Token)?
JWT es un estándar abierto (RFC 7519) para transmitir información entre partes de forma segura como un objeto JSON. Consta de tres partes: header (algoritmo y tipo de token), payload (claims) y signature (verificación). Los JWTs se usan habitualmente para autenticación e intercambio de información.
¿Es seguro decodificar JWTs aquí?
Sí. Toda la decodificación ocurre íntegramente en tu navegador. Ningún dato del JWT se envía a un servidor. Recuerda, eso sí, que los JWTs no están cifrados — solo están codificados en base64. Cualquiera puede decodificarlos, así que nunca almacenes información sensible en el payload.
¿Qué significa cada parte?
Header: contiene el tipo de token (JWT) y el algoritmo de firma. Payload: contiene los claims (afirmaciones sobre el usuario y metadatos adicionales). Signature: se usa para verificar que el token no ha sido manipulado. La verificación de la firma requiere la clave secreta.
¿Cómo puedo verificar la firma?
La verificación de la firma requiere la clave secreta (para algoritmos HMAC) o la clave pública (para algoritmos RSA/ECDSA) usada al firmar el token. Esta herramienta solo decodifica JWTs — no puede verificar firmas sin las claves apropiadas.
¿Qué es un JWT (JSON Web Token)?
JWT es un estándar abierto (RFC 7519) para transmitir información entre partes de forma segura como un objeto JSON. Consta de tres partes: header (algoritmo y tipo de token), payload (claims) y signature (verificación). Los JWTs se usan habitualmente para autenticación e intercambio de información.
¿Es seguro decodificar JWTs aquí?
Sí. Toda la decodificación ocurre íntegramente en tu navegador. Ningún dato del JWT se envía a un servidor. Recuerda, eso sí, que los JWTs no están cifrados — solo están codificados en base64. Cualquiera puede decodificarlos, así que nunca almacenes información sensible en el payload.
¿Qué significa cada parte?
Header: contiene el tipo de token (JWT) y el algoritmo de firma. Payload: contiene los claims (afirmaciones sobre el usuario y metadatos adicionales). Signature: se usa para verificar que el token no ha sido manipulado. La verificación de la firma requiere la clave secreta.
¿Cómo puedo verificar la firma?
La verificación de la firma requiere la clave secreta (para algoritmos HMAC) o la clave pública (para algoritmos RSA/ECDSA) usada al firmar el token. Esta herramienta solo decodifica JWTs — no puede verificar firmas sin las claves apropiadas.