Decodificador de JWT

Decodifica headers y payloads de JWT localmente en tu navegador. Inspecciona claims, vencimiento, emisor y timestamps sin enviar tokens a ningún lado.

🔒 Cero peticiones de red. Los tokens nunca salen de tu navegador.

¿Qué es un decodificador de JWT?

Un decodificador de JWT divide un JSON Web Token en sus tres partes componentes — encabezado, carga útil y firma — y muestra el contenido decodificado de cada una en formato legible para humanos. Los JWTs son tokens codificados en Base64URL que se usan para autenticación y transmisión de datos entre servicios. Aunque parecen cadenas opacas, contienen datos JSON estructurados incluyendo reclamaciones de usuario, tiempos de expiración, emisores y campos personalizados. Esta herramienta decodifica el token sin necesidad de la clave secreta (que solo es necesaria para verificar la firma), permitiéndote inspeccionar qué datos lleva el token.

Cómo usar el decodificador de JWT

Pega tu JWT completo en el campo de entrada. La herramienta separa automáticamente las tres partes separadas por puntos, decodifica los segmentos codificados en Base64URL y muestra el encabezado (algoritmo y tipo de token), la carga útil (reclamaciones y datos), y el estado de la firma. Las marcas de tiempo se convierten a fechas legibles para humanos para que puedas verificar instantáneamente cuándo se emitió el token y cuándo expira. Los tokens expirados se marcan claramente. Puedes editar las reclamaciones de la carga útil directamente para probar diferentes valores. Todo el procesamiento ocurre en tu navegador — tus tokens nunca se envían a ningún servidor.

Por qué importa la inspección de JWT

Los JWTs son la base de la autenticación moderna, y los tokens mal configurados son una fuente común de vulnerabilidades de seguridad y errores. Los problemas comunes incluyen tokens que nunca expiran, reclamaciones excesivamente permisivas, algoritmos incorrectos y datos sensibles almacenados en la carga útil sin cifrado. Inspeccionar tokens visualmente te ayuda a detectar estos problemas durante el desarrollo antes de que lleguen a producción. Al depurar flujos de autenticación, ver el contenido real del token suele ser más rápido que rastrear logs del servidor. Los revisores de seguridad usan regularmente decodificadores de JWT para auditar qué datos transmiten las aplicaciones en los tokens, asegurando que la información sensible no se exponga en lo que son esencialmente cadenas codificadas en Base64.

Preguntas Frecuentes

¿Esto verifica la firma del JWT?

No. Esta página solo decodifica el header y el payload localmente. No valida firmas ni confía en el token.

¿Por qué usar esto en vez de jwt.io?

TeaFun prioriza la decodificación con privacidad primero. Tu token se queda en tu navegador y nunca se sube para procesarlo.

¿Qué timestamps se muestran?

Si están presentes, exp, iat y nbf se convierten de timestamps Unix a fechas ISO legibles.

Estas colecciones agrupan herramientas y guías que suelen formar parte del mismo trabajo.

Flujos de datos para desarrollo

Da formato, inspecciona, convierte y valida JSON, YAML, env, JWT, cabeceras y logs directamente en el navegador.

Abrir colección →

Explorar etiquetas relacionadas

Salta a otras herramientas que comparten el mismo flujo, formato o caso de uso.

Datos 7Texto 7Seguridad 3

Herramientas útiles para el siguiente paso según lo que haces ahora.

Formateador y Validador de JSON

Formatea, valida y minifica JSON al instante en tu navegador. Cero peticiones de red — tus datos nunca salen de tu dispositivo.

Datos Formateo Texto

Codificador / Decodificador Base64

Codifica y decodifica Base64 localmente en tu navegador. Soporta conversión de texto, Base64 seguro para URL y exportación de archivo a Base64.

Datos Conversión Seguridad

Chequeador de Encabezados HTTP de Seguridad

Pega encabezados de respuesta o la salida de curl -I para revisar encabezados de seguridad comunes localmente, incluyendo CSP, HSTS y COOP.

Datos Seguridad