No. Verificar una firma JWT requiere la clave secreta o pública. Esta herramienta solo decodifica el header y el payload para que puedas leerlos.

¿Es seguro pegar mi token aquí?

La decodificación ocurre completamente en tu navegador y el token nunca se sube. Aun así, evita pegar tokens reales y sensibles en un ordenador compartido o público.

¿Qué es el claim exp?

exp es el tiempo de expiración como marca de tiempo UNIX (segundos). Si ya ha pasado, el token ha expirado. Esta herramienta lo muestra en tu hora local.

¿Qué pasa si el token no es válido?

Si el token no es un JWT válido o sus partes no son JSON Base64URL correcto, se muestra un mensaje de error en lugar del resultado.

¿Debo mantener mi JWT en secreto?

Sí. Cualquiera con el token puede leer su payload y puede usarlo hasta que expire, así que trata los tokens como contraseñas.

Decodificador JWT

JWT

Tu token se decodifica en el navegador y nunca se envía a ningún lugar.

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1900000000
}

Claims de tiempo (hora local)

exp17 mar 2030, 17:46:40
iat18 ene 2018, 1:30:22

Esta herramienta solo decodifica el token; no verifica la firma, lo que requiere la clave secreta o pública.

Herramientas externas relacionadas

Algunos enlaces son enlaces de afiliados.

JetBrainsUna empresa de herramientas para desarrolladores detrás de populares IDEs como IntelliJ IDEA, WebStorm, PyCharm y Rider. Conocida por la inteligencia de código profunda, soporte de refactorización y herramientas de depuración integradas. Ofrece una suscripción All Products Pack.AmazonEl mayor mercado en línea del mundo para compras, electrónica, libros, software y más. El envío rápido, las devoluciones sencillas y el vasto catálogo de productos lo convierten en el favorito para las compras diarias. La membresía Prime añade streaming, envío gratuito y ofertas exclusivas.

Herramientas relacionadas

Formateador JSONFormatea, comprime y valida JSON online de forma gratuita. ¿JSON roto? Muestra la línea y columna exacta del error con resaltado. Nada se sube.Base64 Codificar / DecodificarCodifica texto a Base64 o decodifica Base64 al instante — tildes y emojis sin errores (UTF-8), Base64 seguro para URL, imagen a data URL. Todo en el navegador.JSON a TypeScriptPega JSON y obtén interfaces o tipos de TypeScript: objetos anidados, arrays combinados y campos opcionales o nulos. En tu navegador, sin subir nada.Codificador / Decodificador de URLCodifica o decodifica texto y URLs completas, cambia entre modo componente y URL completa, y divide una cadena de consulta en pares clave/valor. Todo en tu navegador.

Pega un JSON Web Token (JWT) para leer al instante su header y payload como JSON formateado. Los claims de tiempo como la expiración y la fecha de emisión se muestran en tu hora local, y puedes ver de un vistazo si el token ha expirado. La decodificación ocurre completamente en tu navegador: tu token nunca se sube.

Cómo usarlo

Pega tu JWT en el cuadro (las tres partes separadas por puntos).
Lee el header y el payload decodificados como JSON formateado.
Comprueba los claims de tiempo y el estado de expiración, y copia lo que necesites.

Cómo funciona

Un JWT tiene tres partes separadas por puntos: header.payload.signature. El header y el payload son JSON codificado en Base64URL, por lo que cualquiera puede decodificarlos: no están cifrados. La firma prueba que el token no ha sido manipulado, pero verificarla requiere la clave secreta o pública, por lo que esta herramienta solo decodifica y nunca comprueba la firma.

Características

Header y payload

Ambas partes se decodifican y se muestran como JSON legible.

Tiempos legibles

Claims como exp, iat y nbf se muestran en tu fecha y hora local, no como números crudos.

Comprobación de expiración

Una etiqueta clara indica si el token sigue siendo válido o ha expirado.

Copiar con un clic

Copia el JSON del header o del payload al portapapeles con un clic.

Completamente local

Tu token se decodifica en el navegador y nunca se envía a ningún servidor.

Cuándo usarlo

Depuración de API

Inspecciona los claims de un token al probar un endpoint de API protegido.

Solución de problemas de autenticación

Comprueba el sujeto, los roles y la expiración cuando un inicio de sesión o una sesión se comportan de forma inesperada.

Inspeccionar un token

Consulta rápidamente qué datos lleva un JWT sin escribir ningún código.

Aprendizaje

Explora la estructura de los JWT para entender cómo funciona la autenticación basada en tokens.

Notas

Esta herramienta solo decodifica; no verifica la firma.
Los payloads JWT están codificados, no cifrados: nunca los trates como secretos.
Los claims de tiempo (exp, iat, nbf) son segundos UNIX, mostrados aquí en tu hora local.
La decodificación ocurre en tu dispositivo, pero evita pegar tokens sensibles en ordenadores compartidos.

Preguntas frecuentes

¿Verifica la firma?: No. Verificar una firma JWT requiere la clave secreta o pública. Esta herramienta solo decodifica el header y el payload para que puedas leerlos.
¿Es seguro pegar mi token aquí?: La decodificación ocurre completamente en tu navegador y el token nunca se sube. Aun así, evita pegar tokens reales y sensibles en un ordenador compartido o público.
¿Qué es el claim exp?: exp es el tiempo de expiración como marca de tiempo UNIX (segundos). Si ya ha pasado, el token ha expirado. Esta herramienta lo muestra en tu hora local.
¿Qué pasa si el token no es válido?: Si el token no es un JWT válido o sus partes no son JSON Base64URL correcto, se muestra un mensaje de error en lugar del resultado.
¿Debo mantener mi JWT en secreto?: Sí. Cualquiera con el token puede leer su payload y puede usarlo hasta que expire, así que trata los tokens como contraseñas.