¿El decoder verifica la firma?

No. Solo decodifica. Para verificar necesitas la clave secreta (HS256) o pública (RS256/ES256) del emisor.

¿Qué significa exp y por qué importa?

exp es el timestamp Unix en el que el token deja de ser válido. Un JWT expirado debería ser rechazado por el servidor incluso con firma correcta.

¿Es seguro pegar mi token aquí?

El decoder corre 100% en tu navegador (revisa el código). Aun así, para tokens de producción de alto valor, ejecútalo localmente o usa jwt.io con cautela.

¿Puedo decodificar un token cifrado (JWE)?

No. JWE (JSON Web Encryption) es distinto a JWT firmado. Necesitarías la clave de cifrado del receptor.

Disponible

Sin registro

Decoder JWT

Inspecciona tokens JWT.

JWT

Pega un token JWT. Decodificamos en tu navegador, sin envío al servidor.

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

alg: HS256

typ: JWT

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1916239022
}

Expiración

Activo

21 sep 2030, 4:37 p.m.

Signature

4Adcj3UFYzPUVaVF43FmMab6RlaQD8A9V8wFzzht-KQ

La firma no se verifica aquí. Para verificarla necesitas la clave secreta (HS256) o pública (RS256/ES256) del emisor.

Cómo funciona esta herramienta

Un JWT (JSON Web Token, RFC 7519) es un token compacto formado por tres partes separadas por puntos: header.payload.signature. Header y payload son JSON codificados en Base64URL; signature es un HMAC o firma asimétrica del header+payload.

Este decodificador inspecciona los tres componentes en tu navegador, identifica el algoritmo (HS256, RS256, ES256...), parsea claims estándar (iss, sub, exp, iat, aud) y te avisa si el token está expirado. No verifica la firma — para eso necesitas la clave secreta del servidor.

Cómo usarla, paso a paso

1
Pega el JWT
Cualquier token completo, con sus tres partes separadas por puntos.
2
Inspecciona claims
Mostramos algoritmo (alg), tipo (typ), emisor (iss), audiencia (aud), expiración (exp) y custom claims.
3
Copia partes
Header, payload y signature por separado para depuración.

Errores comunes

Nunca pegues JWTs de producción en sitios online de terceros. Este decoder es 100% client-side, pero auditar el código antes de confiar es buena práctica.
Decodificar ≠ verificar. Un JWT puede estar manipulado y aún así decodificar limpio. La verificación requiere la clave secreta o pública.
Algoritmo <code>none</code>: vulnerabilidad histórica. Si lo ves, tu librería de auth está mal configurada.

Preguntas frecuentes

¿El decoder verifica la firma?: No. Solo decodifica. Para verificar necesitas la clave secreta (HS256) o pública (RS256/ES256) del emisor.
¿Qué significa exp y por qué importa?: exp es el timestamp Unix en el que el token deja de ser válido. Un JWT expirado debería ser rechazado por el servidor incluso con firma correcta.
¿Es seguro pegar mi token aquí?: El decoder corre 100% en tu navegador (revisa el código). Aun así, para tokens de producción de alto valor, ejecútalo localmente o usa jwt.io con cautela.
¿Puedo decodificar un token cifrado (JWE)?: No. JWE (JSON Web Encryption) es distinto a JWT firmado. Necesitarías la clave de cifrado del receptor.

Otras herramientas en esta categoría

Disponible

Formateador JSON

Abrir

Disponible

Codificador / Decodificador Base64

Abrir

Disponible

Tester de Regex

Abrir

Disponible

Generador de Contraseñas

Abrir

Decoder JWT

JWT

Header

Payload

Signature

Cómo funciona esta herramienta

Cómo usarla, paso a paso

Pega el JWT

Inspecciona claims

Copia partes

Errores comunes

Preguntas frecuentes

Otras herramientas en esta categoría

Formateador JSON

Codificador / Decodificador Base64

Tester de Regex

Generador de Contraseñas