# Decodificador de JWT

> Decodificador de JWT gratuito del lado del cliente. Decodifica header y payload, inspecciona claims, vencimiento, emisor y timestamps sin subir tu token.

- **Category:** Desarrollador
- **URL:** https://www.teafun.cyou/tools/jwt-decoder/
- **Privacy:** Runs entirely in your browser — no uploads, no account, no tracking.
- **Also known as:** jwt token, bearer token, claims decoder, jwt parser
- **Related tools:** [Formateador y Validador de JSON](https://www.teafun.cyou/tools/json-formatter/), [Codificador / Decodificador Base64](https://www.teafun.cyou/tools/base64-tool/), [Chequeador de Encabezados HTTP de Seguridad](https://www.teafun.cyou/tools/http-headers-checker/)
- **Tags:** Data, Security, Text

## About

Decodifica headers y payloads de JWT localmente en tu navegador. Inspecciona claims, vencimiento, emisor y timestamps sin enviar tokens a ningún lado.

## Cómo usar el decodificador de JWT

Pegue el token completo (tres segmentos separados por puntos) en la entrada. La herramienta divide en los puntos, decodifica Base64URL cada segmento y representa el encabezado y la carga como JSON formateado. Reclamaciones numéricas como `iat`, `nbf` y `exp` (segundos Unix desde 1970) se convierten a fechas ISO-8601 junto con el valor sin procesar. El banner de estado reporta expirado (`now > exp`), aún no válido (`now < nbf`), o activo. Si la decodificación falla, el error señala qué segmento estaba mal formado — generalmente un token truncado por copiar-pegar, una cadena Base64URL con caracteres faltantes, o pegar accidentalmente un ID de sesión opaco en lugar de un JWT. Use Copiar para obtener el JSON de cualquier segmento para inspección adicional en `jq`, Postman o su IDE. El segmento de firma se muestra sin procesar — la verificación está intencionalmente fuera del alcance.

## Por qué importa la inspección de JWT

Cuando falla la autenticación, el primer paso de inspección siempre es el token: ¿qué reclamaciones están presentes, ha expirado, coincide `aud` con la API esperada, es `iss` el servidor de autorización correcto, ¿solicitó el cliente el `scope` correcto? Sin un decodificador local, los desarrolladores pegan tokens de producción en sitios en línea aleatorios — cada pegada es una posible fuga de credenciales para quienquiera que sea propietario de los registros, análisis o back-end de ese sitio. La decodificación local de Base64URL detiene la fuga. Más allá de la depuración, la alfabetización JWT es importante para la revisión de seguridad: detectar un token `alg: none`, notar un `exp` años en el futuro, o capturar una reclamación de rol inesperada en la carga lleva segundos con un decodificador y minutos sin. Los JWT son tokens portadores — la posesión es autorización. Tratarlos con cuidado durante la inspección es la misma higiene que tratar con cuidado las credenciales de la base de datos de producción.

_SEO title: Decodificador JWT – Inspector de Tokens | TeaFun_

## FAQ

### ¿Esto verifica la firma del JWT?

No. Esta página solo decodifica el header y el payload localmente. No valida firmas ni confía en el token.

### ¿Por qué usar esto en vez de jwt.io?

TeaFun prioriza la decodificación con privacidad primero. Tu token se queda en tu navegador y nunca se sube para procesarlo.

### ¿Qué timestamps se muestran?

Si están presentes, exp, iat y nbf se convierten de timestamps Unix a fechas ISO legibles.