es

Descodificar JWT

Descodifica un JSON Web Token localmente en tu navegador a JSON legible: cabecera y payload a la vista, sin subir nada.

Procesando localmente en tu dispositivo ...

0%

Tus archivos nunca salieron de tu dispositivo

    ¿Se sube mi archivo?

    No. Todo se ejecuta en tu navegador: tu archivo nunca sale de tu dispositivo. Cómo se puede comprobar

    Sin subidas100% local
    Tus datos son tuyossin acceso de terceros
    Servidores en AlemaniaRGPD desde el diseño
    Auditoría externaTLS A+ · Cabeceras A+

    Un JSON Web Token (JWT, RFC 7519) es un token compacto formado por tres partes separadas por puntos: cabecera, payload y firma. La cabecera y el payload son simplemente JSON codificado en Base64URL (RFC 7515): no son un secreto, solo una notación segura para el transporte. Esta herramienta separa las partes, descodifica la cabecera y el payload, y muestra el JSON contenido con sangría limpia. De un vistazo ves qué algoritmo se declara y qué datos (claims) transporta el token.

    Importante y honesto: esta herramienta solo descodifica, no verifica la firma. Una verificación real necesita el secreto o la clave pública del emisor, que esta herramienta nunca te pide a propósito. Por tanto, un token descodificado todavía no es un token de confianza: su contenido puede estar manipulado. Usa esta vista para entender y depurar (qué claims hay, cuándo caduca exp, cuál es el iss), nunca como prueba de autenticidad.

    Todo el procesamiento ocurre por completo de forma local en tu navegador con JavaScript puro: el token no se sube, no se guarda y no se carga ninguna librería externa desde un CDN. Esto es decisivo justo con los tokens, porque un token de acceso o de identidad no debe acabar en un formulario online ajeno. Si lo que pegas no es un JWT válido, la herramienta lo dice con honestidad en lugar de inventar un resultado erróneo.

    Ficha técnica

    Ficha técnica
    Formatos de entradaEntrada de texto
    Formato de salidaJSON
    Procesamiento por lotesNo
    ProcesamientoLocal en el navegador (JavaScript)
    Subida de archivosNinguna

    En 3 pasos

    1. Pega el JWT en el campo de texto.
    2. Haz clic en Descodificar.
    3. Lee o descarga la cabecera y el payload como JSON.

    Límites: Descodificación pura, sin verificar la firma: la herramienta NO confirma que un token sea auténtico ni que no se haya modificado, para eso haría falta la clave del emisor. Tampoco comprueba si el token ha caducado; solo muestra los claims. Los tokens cifrados (JWE) no se descifran. La cabecera y el payload son solo Base64URL, no cifrado, así que nunca pongas secretos en el payload.

    Preguntas frecuentes

    ¿Se sube mi token?

    No. La descodificación se ejecuta por completo de forma local en tu navegador; el token nunca sale de tu dispositivo y no se guarda.

    ¿La herramienta verifica la firma?

    No. Solo descodifica la cabecera y el payload. Verificar la firma necesita la clave del emisor, que esta herramienta nunca te pide a propósito. Un token descodificado no es un token de confianza.

    ¿Un JWT está cifrado?

    Normalmente no. La cabecera y el payload solo están codificados en Base64URL, que cualquiera puede volver a leer. Por eso, no pongas secretos en el payload.

    ¿Qué significan claims como exp, iat o iss?

    Claims estándar: iss es el emisor, iat el momento de emisión, exp la caducidad (en tiempo Unix), sub el sujeto. La herramienta los muestra tal cual; no los evalúa.

    ¿Qué pasa con una entrada no válida?

    Si lo que pegas no es un JWT válido (número de partes incorrecto o Base64URL roto), la herramienta avisa con un error honesto en lugar de producir un resultado equivocado.

    Herramientas relacionadas