Decodificador JWT
Pega un token JWT para decodificar e inspeccionar su Encabezado, Carga Útil (Payload) y Firma — con verificación de expiración y resaltado de sintaxis.
¿Qué es un Decodificador JWT?
Un decodificador de JWT (JSON Web Token) toma una cadena de token compacta y segura para URLs y la divide en sus tres componentes: Encabezado (algoritmo y tipo de token), Carga Útil (Payload) (reclamaciones como ID de usuario, roles, expiración) y Firma (hash de verificación). Esta herramienta decodifica el Encabezado y la Carga Útil (Payload) codificados en Base64URL en JSON legible y con resaltado de sintaxis. También verifica la reclamación exp para indicar si el token aún es válido o ha expirado, todo sin enviar ningún dato a un servidor.
Cómo Usar el Decodificador JWT
- Pega tu Token — Copia un token JWT y pégalo en el campo de entrada
- Haz clic en Decodificar — O presiona Enter para decodificar el token al instante
- Inspecciona los Resultados — Visualiza el Encabezado (algoritmo, tipo), la Carga Útil (Payload) (reclamaciones, expiración) y la Firma sin procesar
- Verifica la Expiración — Observa si el token es válido o ha expirado, con marcas de tiempo exactas
- Copia Secciones — Haz clic en Copiar en cualquier sección para copiar su JSON al portapapeles
¿Por Qué Usar Este Decodificador JWT?
- Decodificación Instantánea — Pega y decodifica en menos de un segundo sin demora
- Resaltado de Sintaxis — El JSON con código de colores facilita la lectura de claves, cadenas, números y booleanos
- Verificación de Expiración — Calcula automáticamente si el token es válido o ha expirado con diferencias de tiempo legibles
- Privacidad Primero — Tu token nunca sale de tu navegador. Sin solicitudes al servidor, sin registro, sin almacenamiento
- Manejo de Errores — Mensajes de error claros para tokens mal formados, Base64 inválido o JSON roto
- Token de Muestra — Carga un JWT de muestra para probar la herramienta o aprender el formato
FreeToolbox vs Otros Decodificadores JWT
| Característica | FreeToolbox | jwt.io | token.dev |
|---|---|---|---|
| Basado en el Navegador | Sí | Sí | Sí |
| Sin scripts externos | Sí | No (carga libs) | No (carga libs) |
| Verificación de expiración | Sí (automático) | Manual | Sí |
| Resaltado de sintaxis | Sí | Sí | Sí |
| Copiar secciones | Sí (cada una) | No | No |
| Tema oscuro | Sí | No | Opcional |
| Sin anuncios | Sí | Tiene anuncios | Tiene anuncios |
Preguntas frecuentes
¿Qué es un token JWT?
Un JSON Web Token (JWT) es un formato de token compacto y seguro para URLs que se utiliza para transmitir información de forma segura entre las partes. Consta de tres partes codificadas en Base64URL separadas por puntos: Encabezado, Carga Útil (Payload) y Firma. Los JWT se utilizan comúnmente para la autenticación y autorización en aplicaciones web.
¿Puede esta herramienta verificar la firma?
Esta herramienta decodifica y muestra el contenido del JWT, pero no verifica la firma. La verificación de la firma requiere la clave secreta o la clave pública utilizada para firmar el token, que nunca debe compartirse en una herramienta del navegador. Utiliza tu código del lado del servidor para verificar las firmas.
¿Es seguro pegar mi JWT aquí?
Sí. Esta herramienta se ejecuta completamente en tu navegador. No se envían datos a ningún servidor, ni se almacenan ni se registran. Sin embargo, ten cuidado al compartir JWT en general; pueden contener reclamaciones confidenciales como identificaciones de usuario o roles.
¿Qué significa la reclamación exp?
La reclamación 'exp' (tiempo de expiración) identifica el momento después del cual el JWT no debe ser aceptado. Es una marca de tiempo de Unix (segundos desde el 1 de enero de 1970). Esta herramienta lo convierte automáticamente a una fecha legible y te indica si el token ha expirado.
¿Por qué mi token se muestra como no válido?
Las razones comunes incluyen: el token no tiene exactamente 3 partes separadas por puntos, el Encabezado o la Carga Útil (Payload) no tienen una codificación Base64URL válida, o el contenido decodificado no es JSON válido. Verifica que hayas copiado el token completo sin espacios adicionales ni saltos de línea.