CiphersOnline
Cifrado en línea
Codificación
Decodificador JWT

Decodificador JWT online

Decodifica e inspecciona JWT y tokens Bearer directamente en tu navegador. Consulta el header, payload, claims, tiempo de expiración y estructura del token para depurar autenticación, flujos OAuth e integraciones de API.

Entrada
0 caract. · 0 bytes
Probar:
Resultado
✓ Decodificación de token sin verificación de firma ✓ Ver cabecera y carga útil ✓ No se necesita clave para leer el contenido ✓ Procesamiento local en el navegador
Ejemplos
Decodificar un JWT básico
Entrada eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6Ikp1YW4gUMOpcmV6IiwiaWF0IjoxNTE2MjM5MDIyfQ.signature
Salida Header: { "alg": "HS256", "typ": "JWT" } Payload: { "sub": "1234567890", "name": "Juan Pérez", "iat": 1516239022 }

Inspecciona el header y el payload del JWT sin verificar la firma.

Decodificar un token Bearer
Entrada Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcGkuZXhhbXBsZS5jb20iLCJhdWQiOiJteS1hcHAiLCJzY29wZSI6InJlYWQ6dXNlcnMiLCJleHAiOjE5MjQ5OTIwMDB9.signature
Salida Header: { "alg": "HS256", "typ": "JWT" } Payload: { "iss": "api.example.com", "aud": "my-app", "scope": "read:users", "exp": 1924992000 }

Los prefijos Bearer son comunes en encabezados Authorization y pueden eliminarse antes de inspeccionar el JWT.

Inspeccionar el claim de expiración
Entrada eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzQyIiwiZXhwIjoxOTI0OTkyMDAwLCJpYXQiOjE3MTcyMDAwMDAsInJvbGUiOiJhZG1pbiJ9.signature
Salida Header: { "alg": "RS256", "typ": "JWT" } Payload: { "sub": "user_42", "exp": 1924992000, "iat": 1717200000, "role": "admin" }

Claims de JWT como exp e iat son Unix timestamps y resultan útiles al depurar tokens expirados o aún no válidos.

Crear un payload JWT
Entrada {"sub":"user_42","role":"admin","exp":1924992000}
Salida eyJzdWIiOiJ1c2VyXzQyIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxOTI0OTkyMDAwfQ

Codifica un payload JSON en un segmento de payload JWT con Base64URL. Es útil para entender cómo se representan los claims de JWT antes de firmarlos.

Cómo funciona el decodificador JWT

Un JSON Web Token (JWT) normalmente tiene tres partes: Header, Payload y Signature. Estas partes están separadas por puntos y codificadas con Base64URL.

Este decodificador lee el token, decodifica el header y el payload, y muestra los datos JSON en un formato legible. Esto ayuda a inspeccionar claims como issuer, subject, audience, hora de emisión, hora de expiración, scopes, roles y campos personalizados de la aplicación.

Este decodificador no realiza verificación de firma. Decodificar muestra qué hay dentro del token, pero no demuestra que el token sea válido, confiable o que no haya sido manipulado.

JWT, Base64URL y seguridad

Las secciones header y payload de un JWT están codificadas, no cifradas. Cualquier persona que tenga el token puede decodificar estas partes y leer su contenido. Por eso no se deben incluir secretos sensibles en el payload de un JWT, salvo que el token esté cifrado mediante un mecanismo separado.

La sección signature se usa para detectar manipulaciones. Un servidor puede verificar la firma con una clave secreta o con un par de claves pública/privada, según el algoritmo. Esta herramienta está pensada para inspección y depuración, no para validación criptográfica.

Casos comunes de depuración con JWT

La decodificación de JWT se usa con frecuencia al depurar autenticación, OAuth, OpenID Connect, autorización de API, access tokens, refresh tokens y tokens Bearer de encabezados Authorization.

Los desarrolladores suelen inspeccionar JWT para revisar timestamps de expiración, issuer del token, audience, scopes, roles, permisos, identificadores de usuario y valores inesperados de claims durante problemas de inicio de sesión o integración de API.

JWT Decode vs JWT Verify

Decodificar un JWT solo hace legibles el header y el payload. No comprueba si el token es válido, si ha expirado, si es confiable o si está firmado correctamente.

Verificar un JWT requiere comprobar la firma, el algoritmo, issuer, audience, tiempo de expiración y otras reglas de validación usadas por tu aplicación. Este decodificador ayuda a inspeccionar el contenido del token, mientras que la validación completa debe realizarla tu sistema de autenticación.

FAQ

JWT (JSON Web Token) es un formato de token compacto y autocontenido que se usa para autenticación e intercambio seguro de datos. Se utiliza ampliamente en OAuth, OpenID Connect y como token Bearer en encabezados Authorization.

No. Esta herramienta solo decodifica e inspecciona la estructura del token: header, payload y claims. No realiza verificación de firma ni validación del token.

Sí. Decodificar solo convierte datos Base64URL en JSON legible.

Sí. Los tokens expirados aún se pueden decodificar e inspeccionar; esto es útil para depurar auth e investigar problemas con access tokens.

No. Toda la decodificación ocurre localmente en tu navegador. Tus tokens nunca salen de tu dispositivo.

Los payloads de JWT están codificados con Base64URL, no cifrados. Están diseñados para ser legibles; la confidencialidad la aporta el transporte (HTTPS), no la codificación.

La signature permite al servidor verificar que el token no haya sido manipulado. Se calcula a partir del header y el payload usando una clave secreta o una clave privada (RS256, HS256, etc.).

Normalmente no. Un JWT estándar está codificado y firmado, pero no cifrado. El header y el payload pueden ser decodificados por cualquiera que tenga el token.

El claim exp guarda el tiempo de expiración del token como Unix timestamp. Después de ese momento, el servidor no debería aceptar el token.

Un token Bearer es un token enviado en un encabezado HTTP Authorization. Muchos tokens Bearer son JWT, pero el término describe cómo se usa el token, no necesariamente su formato.

No. Los payloads de JWT normalmente son legibles después de decodificarlos. No coloques contraseñas, claves de API, tokens privados ni otros secretos dentro de un payload JWT normal.
Herramientas relacionadas

Convertidor ASCII

Convierte caracteres ASCII y códigos numéricos para flujos de trabajo con protocolos y parsers.

Convertidor Unicode

Convierte texto a escapes Unicode y decodifica escapes Unicode, entidades HTML y texto multilingüe.

Todas las herramientas de Codificación y conversión de datos →