Decodificador de JWT: decodifica JSON Web Tokens y comprueba la caducidad en línea

Pega cualquier JSON Web Token para decodificar al instante su encabezado y su payload, ver la firma y comprobar si ha caducado. Se ejecuta localmente: tus tokens nunca salen de tu navegador.

JWT codificado

Decode and verify entirely in your browser — nothing is uploaded.

Los archivos se eliminan automáticamente tras el procesamientoProcesado de forma segura mediante HTTPS

Frequently Asked Questions

Pega el JWT codificado (la larga cadena eyJ…) en el cuadro de entrada. La herramienta lo divide por los dos puntos, decodifica en Base64URL el encabezado y el payload y muestra el JSON de cada uno más el segmento de firma en bruto, todo sin realizar ninguna solicitud de red.

usage

No. El decodificador solo analiza el token; no comprueba la firma contra una clave secreta o pública, porque la verificación requiere el material de clave del emisor. Usa una biblioteca JWT del lado del servidor para la verificación en producción; esta herramienta es para inspección y depuración.

technical

Obtienes la cabecera (algoritmo e identificador de clave), las reclamaciones del payload (sub, iss, aud, iat, exp y cualquier reclamación personalizada) y la firma en bruto. Las reclamaciones de marca temporal estándar se formatean como fechas legibles para que puedas detectar tokens caducados de un vistazo.

features

Si el payload contiene el claim estándar "exp", la herramienta lo compara con la hora actual y muestra «Válido hasta» o «Token caducado el» con la marca de tiempo exacta. Los tokens sin un claim exp se indican como sin caducidad.

features

Cualquiera que lea el contenido de un JWT puede usarlo hasta que caduque, así que los tokens de producción deben mantenerse en herramientas privadas. Este decodificador funciona por completo en tu navegador y nunca transmite el token, pero la regla más segura es decodificar siempre que sea posible tokens de desarrollo de corta duración.

privacy

Un JWT tiene tres segmentos codificados en Base64URL separados por puntos: header (el algoritmo de firma), payload (las claims que el emisor quiere que el verificador acepte) y signature (un MAC o firma digital sobre header.payload). La decodificación nunca necesita una clave; solo la verificación la requiere.

technical

Un token compacto y seguro para URL formado por tres segmentos Base64URL —cabecera, carga útil y firma— que transporta datos firmados como un ID de usuario y una fecha de caducidad. Se usa mucho para sesiones de inicio de sesión sin estado y para proteger peticiones de API. Pega uno arriba para inspeccionar su cabecera y su carga útil.

technical

Debajo del encabezado y la carga útil decodificados, pega el secreto de firma (para HS256) o la clave pública del emisor en formato PEM o JWK (para RS256, ES256 y similares) en el recuadro Verificar firma y luego haz clic en Verificar. La insignia que aparece indica si la firma es válida, no válida o usa un algoritmo que el verificador del navegador no admite, todo calculado localmente, sin enviar el token ni la clave a ningún sitio.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Haz clic en Probar JWT de ejemplo para cargar un token de demostración HS256 con los claims sub, name, iat y exp, y así ver cómo funcionan la decodificación y la comprobación de caducidad antes de pegar tu propio token. En cuanto hay un token en el cuadro, aparece junto a él un botón Borrar que vacía la entrada con un solo clic.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Depurar flujos de OAuth y OpenID Connect

Decodifica los access tokens e ID tokens devueltos por Auth0, Okta, Cognito y Azure AD para verificar scopes, audiencias y emisores durante el trabajo local de integración de OAuth

For Developers

Inspecciona las cabeceras de autorización en las llamadas a la API

Pega el token de portador de una solicitud de API fallida para confirmar si la culpa es de un tenant, un rol o una caducidad incorrectos antes de abrir un tique con el equipo de backend

For Developers

Comprueba la caducidad del token durante el desarrollo

Detecta los tokens caducados que rompen tu entorno de pruebas en silencio leyendo el campo exp, sin necesidad de copiar el token en una terminal ni escribir un script rápido

For Business

Audita los permisos codificados en los claims del token

Verifica reclamaciones personalizadas como roles, inquilinos e indicadores de funciones para que los administradores puedan confirmar que el token de un cliente otorga exactamente el acceso previsto por el equipo de licencias

For Business

Validar integraciones de inicio de sesión único

Inspecciona los tokens SAML y OIDC generados por integraciones SSO empresariales para confirmar las pertenencias a grupos y las asignaciones de atributos antes de desplegarlos a todos los empleados

Education

Enseña la autenticación basada en tokens

Usa los paneles decodificados de encabezado, carga útil y firma para explicar cómo se estructuran los JWT a estudiantes de bootcamp, ingenieros junior y asistentes a talleres de seguridad

For Developers

Confirma la configuración de firma de webhook de un socio

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.