Área de herramienta
decodificador JWT y parser JSON Web Token online
Decodifica header, payload y metadatos útiles del token JWT.
Decodificador JWT
Decodificador JWT
bytes →
Decodificador JWT
Parámetros de consulta
IDN / Punycode
Decodificador JWT
..
Encabezado
Payload
Metadatos
· Expira:
Verificar firma
Firmar (HS)
Decodificador JWT
Biblioteca de patrones
Coincidencias resaltadas
Coincidencias ()
Resultado del reemplazo
Decodificador JWT
Relativo:
Zona horaria
Construir por partes
Diferencia
Decodificador JWT
Decodificador JWT
Decodificador JWT
Ejemplos
Token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Carga decodificada
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Guías y artículos
Cómo funcionan los JSON Web Tokens en una aplicación real
Un JWT transporta claims firmados en una cadena compacta. Entender header, payload, firma y validación evita tratarlo como magia de autenticación.
Leer artículoErrores de seguridad con JWT y cómo evitarlos
Los fallos con JWT suelen venir de algoritmos aceptados sin control, claims no validados, expiraciones largas, almacenamiento inseguro y claves mal rotadas.
Leer artículoJWT o sesiones: cómo elegir un modelo de autenticación
JWT y sesiones clásicas resuelven trade-offs distintos. La mejor opción depende de revocación, escalabilidad, clientes, seguridad y operación.
Leer artículoDecodificador JWT
Decodifica header, payload y metadatos útiles del token JWT. DevToolGrid Online ofrece un decodificador JWT y parser JSON Web Token online.
¿Qué es un JWT?
Un JWT (JSON Web Token) es un token compacto y seguro para URL usado en autenticación y autorización. Tiene tres partes Base64URL separadas por puntos: una cabecera (el algoritmo de firma), una carga útil (claims como el id de usuario y la caducidad) y una firma que protege las dos primeras partes de manipulaciones. La cabecera y la carga solo están codificadas, no cifradas.
Cómo decodificar y verificar un JWT
- 1 Pega el token en la entrada; la cabecera y la carga se decodifican al instante.
- 2 Lee los claims y el estado legible de caducidad (exp) y no-antes (nbf).
- 3 Para verificar, pega el secreto para HS256/384/512 o la clave pública para algoritmos RS/ES.
- 4 Opcionalmente firma un nuevo token HS a partir de cabecera, carga y secreto.
Errores comunes con JWT
- Poner secretos en la cargaLa carga solo está codificada en Base64 y cualquiera puede leerla. Nunca guardes contraseñas ni datos sensibles en ella.
- No verificar la firmaDecodificar un token no prueba que sea auténtico. Verifica siempre la firma en el servidor.
- Ignorar la caducidadUn token pasado su exp debe rechazarse aunque la firma sea válida.
Decodificar vs verificar un JWT
Decodificar simplemente lee la cabecera y la carga — cualquiera puede hacerlo porque no están cifradas. Verificar comprueba la firma con un secreto o clave pública para confirmar que el token lo emitió una parte de confianza y no se modificó. Esta herramienta decodifica cualquier token y verifica firmas HS, RS, ES y PS en el navegador.
Preguntas frecuentes
¿Es gratis esta herramienta?
Sí. El decodificador y verificador de JWT son totalmente gratuitos, sin registro.
¿Se envía mi token a un servidor?
No. La decodificación, verificación y firma se hacen localmente en tu navegador, así que los tokens nunca salen del dispositivo.
¿Se verifica realmente la firma?
Sí. Proporciona el secreto o la clave pública y la herramienta comprueba la firma con la Web Crypto API.
¿Es seguro pegar un token de producción?
Como todo se ejecuta localmente, el token no se transmite. Aun así, trata los tokens reales con cuidado y prefiere tokens de prueba.