Decodificador JWT

Token JWT

Pega un token JWT para decodificarlo al instante.

Pega un token JWT para decodificarlo al instante.

Herramientas relacionadas

Generador JWTGenerar tokens JWT con HS256Codificador/Decodificador Base64Codificar y decodificar cadenas Base64 en líneaFormateador JSONFormatear y embellecer datos JSON

Acerca de esta herramienta

La decodificación de JWT (JSON Web Token) es algo que hago casi a diario al depurar problemas de autenticación, inspeccionar tokens de API o solucionar integraciones SSO. Cuando un usuario reporta errores de "acceso denegado", lo primero que hago es decodificar su JWT para verificar el tiempo de expiración, roles y claims. Esta herramienta decodifica JWT instantáneamente sin enviar tokens a ningún servidor—crítico al manejar tokens de acceso de producción o credenciales de clientes. Divide el token en tres partes (encabezado, carga útil, firma), decodifica las dos primeras en Base64 y muestra el contenido JSON en formato legible. La firma se muestra pero no se verifica—esta es una herramienta de inspección, no un validador. Perfecta para desarrolladores que integran OAuth2, depuran tokens Auth0/Cognito o entienden cómo funciona la autenticación basada en JWT. ### Estructura JWT JWT contiene 3 partes separadas por puntos (.): - **Encabezado** - Contiene el tipo de token y algoritmo de firma (ej. HS256, RS256) - **Carga útil (claims)** - Contiene los datos reales y claims - **Firma** - Verifica que el token no ha sido alterado El decodificador ayuda a los desarrolladores a ver rápidamente el contenido de la carga útil para propósitos de depuración como ver roles/permisos, verificar expiración de token, verificar información del emisor, verificar scope de API y validar la estructura del token durante la implementación de autenticación. ### Casos de Uso **1. Depurar Tokens de Proveedores de Autenticación** - Firebase Auth - Auth0 - AWS Cognito - Supabase - Keycloak **2. Desarrollo Frontend** Verificar: - ¿Existe el claim role=admin? - ¿El token expiró cuando los usuarios se quejan? - ¿La estructura del token es correcta? **3. Desarrollo Backend** Validar carga útil antes de escribir verificación en el backend. **4. QA / Pruebas** Verificar tokens de API durante pruebas de API. **5. Revisión de Seguridad (Inspección Rápida)** Verificar algoritmo de firma (alg) para seguridad: - HS256, RS256, ES256 → ✓ Seguro - NONE → ⚠️ Inseguro **6. Depurar OAuth 2.0 / OpenID Connect** Ver: - `iss` - Emisor - `aud` - Audiencia - `exp` - Expiración - `nonce` - Prevención de ataques de repetición - `azp` - Parte autorizada

Cómo usar

Pegue un token JWT (formato: xxxxx.yyyyy.zzzzz) en el campo de entrada. La herramienta lo divide automáticamente en secciones de encabezado, carga útil y firma. El encabezado muestra el algoritmo (HS256, RS256, etc.) y tipo de token. La carga útil muestra claims como ID de usuario (sub), expiración (exp), emitido en (iat), emisor (iss) y claims personalizados que agregó su aplicación. Los tiempos de expiración son timestamps Unix—la herramienta puede convertirlos a fechas legibles. Use esto cuando las API devuelvan errores 401 para verificar si los tokens expiraron, al depurar autorización para verificar que los claims de rol/permiso estén presentes, o al aprender la estructura JWT. ### Cómo Usar 1. Copie su token JWT 2. Péguelo en el campo de entrada 3. La herramienta separa automáticamente encabezado, carga útil y firma 4. Vea el resultado decodificado: JSON + desglose de claims 5. Use los botones copiar/exportar si es necesario

Casos de uso comunes

Depurar Errores de Autenticación

El usuario obtiene error 401; decodifique su token para verificar si el timestamp exp (expiración) ha pasado—los tokens típicamente expiran en 15-60 minutos.

Verificar Claims

Decodifique el token de acceso para confirmar que los claims requeridos (roles, permisos, email verificado) estén presentes antes de investigar otros problemas.

Depuración Multi-tenant

Verifique claims tenant_id o organization_id en el token para asegurar que el usuario accede a recursos del tenant correcto.

Comparación de Tokens

Decodifique tokens de diferentes entornos (dev/staging/production) para comparar diferencias de claims.

Aprender OAuth2/OpenID

Pegue tokens de ejemplo de Auth0, Cognito o Keycloak para entender la estructura y claims estándar como aud (audiencia) y scope.

Limitaciones y notas importantes

⚠️ **Importante**: ¡Esta herramienta solo decodifica tokens, NO verifica firmas! Esta herramienta SOLO decodifica JWT—NO verifica firmas ni valida tokens. Un token decodificado que muestra claims válidos no significa que el token sea auténtico; los atacantes pueden crear tokens con claims falsos. Siempre verifique firmas del lado del servidor usando su clave secreta o clave pública (para RS256). La herramienta funciona con formatos JWT estándar (header.payload.signature en codificación Base64URL). No maneja JWT cifrados (JWE) o tokens anidados. Si su token incluye datos binarios o codificación no estándar, la decodificación puede fallar. Para validación automática de tokens en código, use bibliotecas JWT adecuadas como jsonwebtoken (Node.js), PyJWT (Python) o jose4j (Java). Nota de seguridad: No pegue tokens de producción sensibles en herramientas en línea que no confíe—esta herramienta se ejecuta del lado del cliente, pero siempre verifique en la pestaña Red de DevTools que nada se carga.