Pulsa / para buscar

Decodificador de JWT

Decodifica headers y payloads de JWT localmente en tu navegador. Inspecciona claims, vencimiento, emisor y timestamps sin enviar tokens a ningún lado.

🔒 Cero peticiones de red. Los tokens nunca salen de tu navegador.

Acabas de probar Decodificador de JWT — Prueba Formateador y Validador de JSON a continuación →

¿Qué es un decodificador de JWT?

Un JSON Web Token (RFC 7519) consta de tres segmentos codificados en Base64URL separados por puntos: header.payload.signature. El encabezado declara el algoritmo de firma (alg: HS256, RS256, ES256, etc.) y el tipo de token. La carga contiene reclamaciones — Registradas (iss, sub, aud, exp, iat, nbf, jti según RFC 7519 §4.1), Públicas (nombres registrados por IANA como email, name) y Privadas (cualquier campo personalizado que defina su aplicación). La firma es HMAC o RSA/ECDSA sobre la cadena concatenada header.payload usando una clave que conoce el verificador. Este decodificador lee el encabezado y la carga localmente — no verifica la firma, porque la verificación requiere el secreto o la clave pública, y pegar cualquiera de ellos en una herramienta web sería contraproducente. Decodificar ≠ Verificar: un JWT que parece válido puede tener una firma falsificada, un exp expirado, o un encabezado alg: none que algunas bibliotecas descuidadas aceptan (la vulnerabilidad alg: none de 2015 sigue apareciendo en auditorías). Use este decodificador para inspeccionar durante el trabajo de integración, nunca como puerta antes de autorizar una solicitud.

Cómo usar el decodificador de JWT

Pegue el token completo (tres segmentos separados por puntos) en la entrada. La herramienta divide en los puntos, decodifica Base64URL cada segmento y representa el encabezado y la carga como JSON formateado. Reclamaciones numéricas como iat, nbf y exp (segundos Unix desde 1970) se convierten a fechas ISO-8601 junto con el valor sin procesar. El banner de estado reporta expirado (now > exp), aún no válido (now < nbf), o activo. Si la decodificación falla, el error señala qué segmento estaba mal formado — generalmente un token truncado por copiar-pegar, una cadena Base64URL con caracteres faltantes, o pegar accidentalmente un ID de sesión opaco en lugar de un JWT. Use Copiar para obtener el JSON de cualquier segmento para inspección adicional en jq, Postman o su IDE. El segmento de firma se muestra sin procesar — la verificación está intencionalmente fuera del alcance.

Por qué importa la inspección de JWT

Cuando falla la autenticación, el primer paso de inspección siempre es el token: ¿qué reclamaciones están presentes, ha expirado, coincide aud con la API esperada, es iss el servidor de autorización correcto, ¿solicitó el cliente el scope correcto? Sin un decodificador local, los desarrolladores pegan tokens de producción en sitios en línea aleatorios — cada pegada es una posible fuga de credenciales para quienquiera que sea propietario de los registros, análisis o back-end de ese sitio. La decodificación local de Base64URL detiene la fuga. Más allá de la depuración, la alfabetización JWT es importante para la revisión de seguridad: detectar un token alg: none, notar un exp años en el futuro, o capturar una reclamación de rol inesperada en la carga lleva segundos con un decodificador y minutos sin. Los JWT son tokens portadores — la posesión es autorización. Tratarlos con cuidado durante la inspección es la misma higiene que tratar con cuidado las credenciales de la base de datos de producción.

Preguntas Frecuentes

¿Esto verifica la firma del JWT?

No. Esta página solo decodifica el header y el payload localmente. No valida firmas ni confía en el token.

¿Por qué usar esto en vez de jwt.io?

TeaFun prioriza la decodificación con privacidad primero. Tu token se queda en tu navegador y nunca se sube para procesarlo.

¿Qué timestamps se muestran?

Si están presentes, exp, iat y nbf se convierten de timestamps Unix a fechas ISO legibles.

Estas colecciones agrupan herramientas y guías que suelen formar parte del mismo trabajo.

Flujos de datos para desarrollo

Da formato, inspecciona, convierte y valida JSON, YAML, env, JWT, cabeceras y logs directamente en el navegador.

Abrir colección →

Explorar etiquetas relacionadas

Salta a otras herramientas que comparten el mismo flujo, formato o caso de uso.

Datos 8Texto 8Seguridad 3

Herramientas útiles para el siguiente paso según lo que haces ahora.

Formateador y Validador de JSON

Formatea, valida y minifica JSON al instante en tu navegador. Cero peticiones de red — tus datos nunca salen de tu dispositivo.

Datos Formateo Texto

Codificador / Decodificador Base64

Codifica y decodifica Base64 localmente en tu navegador. Soporta conversión de texto, Base64 seguro para URL y exportación de archivo a Base64.

Datos Conversión Seguridad

Chequeador de Encabezados HTTP de Seguridad

Pega encabezados de respuesta o la salida de curl -I para revisar encabezados de seguridad comunes localmente, incluyendo CSP, HSTS y COOP.

Datos Seguridad