How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

Decodificador JWT - Decodifica tokens web JSON y caducidad de comprobación en línea

Pega cualquier token web JSON para decodificar instantáneamente su cabecera y carga útil, revisa la firma y comprueba si ha caducado. Se ejecuta localmente: tus tokens nunca salen del navegador.

JWT codificado

Esta herramienta solo decodifica el token — no verifica la firma contra una clave secreta o pública. Cualquiera que tenga el token puede leer su carga, así que nunca pongas secretos en un JWT.

Acerca de los JSON Web Tokens

Un JWT tiene tres segmentos codificados en Base64URL separados por puntos: encabezado, carga útil y firma. El encabezado describe el algoritmo de firma, la carga útil transporta las reclamaciones (como sub, iat, exp), y la firma permite al servidor verificar que el token no ha sido manipulado. Descifrar nunca requiere un secreto.

Continúa mejorando tus imágenes

Lleva tu edición de fotos al siguiente nivel con estas herramientas populares

📝

Agregar texto a la imagen

Agrega subtítulos y títulos a tu foto mejorada

🖼️

Agregar borde de foto

Enmarca tu efecto con hermosos bordes

🗜️

Comprimir imagen

Optimiza tu imagen mejorada para compartirla

📐

Cambiar el tamaño de la imagen

Cambiar las dimensiones de la imagen

📝

Agregar texto a la imagen

Agrega subtítulos y títulos a tu foto mejorada

Pruébalo ahora

🖼️

Agregar borde de foto

Enmarca tu efecto con hermosos bordes

Pruébalo ahora

🗜️

Comprimir imagen

Optimiza tu imagen mejorada para compartirla

Pruébalo ahora

📐

Cambiar el tamaño de la imagen

Cambiar las dimensiones de la imagen

Pruébalo ahora

🎨

Foto a dibujos animados

Prueba un estilo artístico diferente

Pruébalo ahora

✏️

Boceto a lápiz

Crea dibujos artísticos a lápiz

Pruébalo ahora

Explora todas las herramientas fotográficas

Frequently Asked Questions

Pega el JWT codificado (el largo ojo J... en la caja de entrada. La herramienta lo divide en dos puntos, decodifica la cabecera y la carga útil en Base64URL, y muestra el JSON de cada uno más el segmento de firma en bruto — todo ello sin hacer ninguna solicitud de red.

usage

No. El decodificador solo analiza el token — no comprueba la firma con una clave secreta o pública, porque la verificación requiere el material de la clave del emisor. Utiliza una biblioteca JWT en el lado del servidor para la verificación en producción; Esta herramienta es para inspección y depuración.

technical

Obtienes la cabecera (algoritmo y id de clave), las reclamaciones de payload (sub, iss, aud, iat, exp y cualquier reclamación personalizada) y la firma en bruto. Las afirmaciones estándar de marca temporal están formateadas como fechas legibles para humanos, para que puedas detectar tokens obsoletos de un vistazo.

features

Si la carga útil contiene la reclamación estándar de "exp", la herramienta la compara con la hora actual y muestra "Válido hasta" o "Token expirado a" con la marca de tiempo exacta. Los tokens sin reclamación de experiencia se reportan como sin caducidad.

features

Cualquiera que lea la carga útil de un JWT puede usarla hasta que expire, por lo que los tokens de producción pertenecen a herramientas privadas. Este decodificador se ejecuta completamente en tu navegador y nunca transmite el token, pero la regla más segura es decodificar tokens de desarrollo de corta duración siempre que sea posible.

privacy

Un JWT tiene tres segmentos codificados en Base64URL separados por puntos: cabecera (algoritmo de firma), payload (las reclamaciones en las que el emisor quiere que el verificador confíe) y firma (una MAC o firma digital sobre header.payload). La decodificación nunca necesita una clave, solo la verificación.

technical

Use Cases

Depuración OAuth y OpenID Connect Flows

Decodifica los tokens de acceso y los tokens ID devueltos por Auth0, Okta, Cognito y Azure AD para verificar alcances, audiencias y emisores durante el trabajo de integración local de OAuth

technical

Inspeccionar cabeceras de autorización en llamadas a API

Pega el token portador de una solicitud de API que falla para confirmar si el tenant, rol o caducidad incorrectos es el culpable antes de abrir un ticket con el equipo de backend

technical

Comprueba la expiración del token durante el desarrollo

Spota tokens caducados que están rompiendo silenciosamente tu entorno de staging leyendo la reclamación de experiencia — no hace falta copiar el token a un terminal ni escribir un script rápido

technical

Permisos de auditoría codificados en reclamaciones de token

Verifica reclamaciones personalizadas como roles, inquilinos y flags de características para que los administradores puedan confirmar que el token del cliente concede exactamente el acceso previsto por el equipo de licencias

business

Validar integraciones de inicio de sesión único

Inspecciona los tokens SAML y OIDC producidos por integraciones SSO empresariales para confirmar la membresía de grupos y los mapeos de atributos antes de implementarlos a todos los empleados

business

Enseñar autenticación basada en tokens

Utiliza el encabezado decodificado, la carga útil y los paneles de firma para explicar cómo están estructurados los JWT a los estudiantes de bootcamp, ingenieros junior y asistentes a talleres de seguridad

educational