Decodificador de JWT
Decodifica headers y payloads de JWT localmente en tu navegador. Inspecciona claims, vencimiento, emisor y timestamps sin enviar tokens a ningún lado.
¿Qué es un decodificador de JWT?
Un decodificador de JWT divide un JSON Web Token en sus tres partes componentes — encabezado, carga útil y firma — y muestra el contenido decodificado de cada una en formato legible para humanos. Los JWTs son tokens codificados en Base64URL que se usan para autenticación y transmisión de datos entre servicios. Aunque parecen cadenas opacas, contienen datos JSON estructurados incluyendo reclamaciones de usuario, tiempos de expiración, emisores y campos personalizados. Esta herramienta decodifica el token sin necesidad de la clave secreta (que solo es necesaria para verificar la firma), permitiéndote inspeccionar qué datos lleva el token.
Cómo usar el decodificador de JWT
Pega tu JWT completo en el campo de entrada. La herramienta separa automáticamente las tres partes separadas por puntos, decodifica los segmentos codificados en Base64URL y muestra el encabezado (algoritmo y tipo de token), la carga útil (reclamaciones y datos), y el estado de la firma. Las marcas de tiempo se convierten a fechas legibles para humanos para que puedas verificar instantáneamente cuándo se emitió el token y cuándo expira. Los tokens expirados se marcan claramente. Puedes editar las reclamaciones de la carga útil directamente para probar diferentes valores. Todo el procesamiento ocurre en tu navegador — tus tokens nunca se envían a ningún servidor.
Por qué importa la inspección de JWT
Los JWTs son la base de la autenticación moderna, y los tokens mal configurados son una fuente común de vulnerabilidades de seguridad y errores. Los problemas comunes incluyen tokens que nunca expiran, reclamaciones excesivamente permisivas, algoritmos incorrectos y datos sensibles almacenados en la carga útil sin cifrado. Inspeccionar tokens visualmente te ayuda a detectar estos problemas durante el desarrollo antes de que lleguen a producción. Al depurar flujos de autenticación, ver el contenido real del token suele ser más rápido que rastrear logs del servidor. Los revisores de seguridad usan regularmente decodificadores de JWT para auditar qué datos transmiten las aplicaciones en los tokens, asegurando que la información sensible no se exponga en lo que son esencialmente cadenas codificadas en Base64.
Preguntas Frecuentes
¿Esto verifica la firma del JWT?
No. Esta página solo decodifica el header y el payload localmente. No valida firmas ni confía en el token.
¿Por qué usar esto en vez de jwt.io?
TeaFun prioriza la decodificación con privacidad primero. Tu token se queda en tu navegador y nunca se sube para procesarlo.
¿Qué timestamps se muestran?
Si están presentes, exp, iat y nbf se convierten de timestamps Unix a fechas ISO legibles.
Usa esta herramienta dentro de un flujo más grande
Estas colecciones agrupan herramientas y guías que suelen formar parte del mismo trabajo.
Explorar etiquetas relacionadas
Salta a otras herramientas que comparten el mismo flujo, formato o caso de uso.