JWT Decoder

Pega un JWT y visualiza al instante su header, payload y firma.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
¿Qué es un JWT?

                
JSON Web Token (JWT, RFC 7519) es un estándar abierto para transmitir claims entre dos partes de forma segura y compacta. Los JWT se utilizan en APIs web modernas para autenticación y autorización — por ejemplo, tras el inicio de sesión para identificar al usuario en cada solicitud posterior.

                
Importante: Un JWT no está cifrado, solo firmado. Cualquiera que posea el token puede leer su contenido. Nunca almacenes contraseñas o datos sensibles en el payload.


                
Estructura de un JWT

                
    
                    
  • Header — describe el tipo de token (typ) y el algoritmo de firma (alg), p. ej. HS256, RS256.
    • 
                    
  • Payload — contiene los claims (datos) como JSON, codificado en base64url. Permite claims estándar y personalizados.
    • 
                    
  • Firma — firma criptográfica sobre header + payload, creada con el algoritmo indicado en alg.
    • 
                


                
Claims estándar (RFC 7519)

                
    
                    
  • iss — Issuer (emisor del token)
    • 
                    
  • sub — Subject (normalmente el ID de usuario)
    • 
                    
  • aud — Audience (destinatario previsto del token)
    • 
                    
  • exp — Expiration Time (caducidad como Unix timestamp)
    • 
                    
  • iat — Issued At (cuándo se emitió el token)
    • 
                    
  • nbf — Not Before (no válido antes de este momento)
    • 
                


                
¿Es segura esta herramienta?

                
Sí. La decodificación se realiza completamente en tu navegador con JavaScript. No se envía ningún token a ningún servidor y nada se registra. Puedes inspeccionar la implementación en cualquier momento en las herramientas de desarrollo del navegador. Aun así, pega tokens de producción solo en entornos de confianza.