Desarrollador

Decodificador JWT

Pega un JSON Web Token para dividirlo en encabezado, carga y firma. Las marcas de tiempo como exp e iat se formatean en fechas legibles, y la tabla de reclamaciones muestra cada campo de un vistazo. Funciona completamente en tu navegador.

Token JWT

¿Qué es un JWT?

Un JSON Web Token (JWT) es una forma compacta y segura para URL de representar reclamaciones entre dos partes. Son tres segmentos codificados en base64url unidos por puntos: un encabezado que nombra el algoritmo de firma, una carga útil que lleva las reclamaciones y una firma que prueba que el token fue emitido por alguien que posee la clave de firma. Los JWT son el formato predeterminado para los tokens de acceso de OAuth 2.0, los tokens de ID de OpenID Connect y la mayoría de los sistemas de sesión sin estado. Este decodificador divide el token y muestra el JSON en bruto para cada segmento; no verifica la firma, porque eso requeriría la clave secreta o pública del emisor.

Cómo usar el decodificador JWT

1
Pega tu token
Copia un JWT de un encabezado de autorización, un registro de depuración o una URL. Debería verse como eyJ...eyJ...firma con tres segmentos.
2
Revisa el encabezado y la carga útil
El encabezado muestra el algoritmo (alg) y el tipo de token (typ). La carga útil enumera cada reclamación: sub, iss, aud, exp, iat y cualquier campo personalizado.
3
Verifica la expiración de un vistazo
Los banners de validez te indican inmediatamente si el token está expirado, activo o aún no es válido (nbf). Las reclamaciones de tiempo se muestran tanto en UTC como en forma relativa.
4
Copia secciones individuales
Usa el botón de copiar en el panel de encabezado o carga útil para obtener un JSON limpio para depuración, compartir o pegar en otra herramienta.

Anatomía del JWT

Un JWT tiene tres segmentos codificados en base64url unidos por puntos:
 
    encabezado.carga útil.firma
 
Encabezado  — JSON que describe el algoritmo de firma
          { "alg": "HS256", "typ": "JWT" }
 
Carga útil — JSON que lleva las reclamaciones
          { "sub": "1234", "exp": 1700000000 }
 
Firma — HMAC o RSA sobre encabezado.carga útil, codificado en base64url
 
Reclamaciones de tiempo estándar (segundos desde la época):
  exp  = tiempo de expiración
  iat  = emitido en
  nbf  = no antes de

El encabezado y la carga útil son JSON plano que cualquiera puede leer; base64url es codificación, no cifrado. La firma es lo que hace que el token sea confiable: se calcula por el emisor utilizando una clave secreta (para algoritmos HS*) o una clave privada (para algoritmos RS*/ES*) sobre los dos primeros segmentos. Un servidor que recibe el token vuelve a calcular la firma con la clave secreta o pública correspondiente y rechaza cualquier cosa que no coincida. Por eso nunca debes poner datos sensibles como contraseñas en una carga útil, y por eso esta herramienta solo decodifica; la verificación requiere la clave del emisor.

Referencia: RFC 7519 — JSON Web Token (JWT)

Ejemplos

Entrada	Salida
Encabezado: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Encabezado mínimo para un token HMAC-SHA256.
Carga útil con reclamación exp	{ "sub": "1234", "exp": 1700000000 } exp son segundos desde la época — 2023-11-14 en UTC.
Token expirado	Token expirado · Expira 2024-01-01 (hace 3 meses) El banner de validez se vuelve rojo cuando exp está en el pasado.
Token malformado (solo dos segmentos)	Token inválido: se esperaban 3 segmentos, se obtuvieron 2 Un JWT debe tener exactamente tres partes separadas por puntos en base64url.

Casos de uso comunes

Depurar un token de acceso OAuth para ver qué alcances y audiencia lleva
Verificar si una solicitud fallida se debe a un token expirado
Inspeccionar un token de ID de OpenID Connect para leer las reclamaciones del usuario como sub y email
Decodificar un token de enlace mágico o de restablecimiento de contraseña para confirmar la carga útil firmada
Verificar que el emisor correcto (iss) y la audiencia (aud) estén configurados en un token
Leer el encabezado kid para averiguar qué clave de firma se utilizó
Comparar dos tokens lado a lado al investigar un error de sesión
Enseñar a los compañeros de equipo cómo están estructurados los JWT sin escribir ningún código

Herramientas relacionadas

Formateador JSON

Formatea, valida y minimiza JSON con informes precisos de línea y columna de errores.

Codificador Base64

Codifica y decodifica texto Base64 con variante opcional segura para URL y soporte UTF-8.

Convertidor de Timestamp Unix

Convierte entre números de época y fechas con detección automática para segundos vs milisegundos.

Calculadora de Edad

Calcula tu edad exacta en años, meses y días a partir de cualquier fecha de nacimiento.

Preguntas frecuentes

¿Esta herramienta verifica la firma?

No. Verificar una firma requiere el secreto del emisor (para algoritmos HMAC) o la clave pública (para RSA y ECDSA). Esta herramienta solo decodifica el encabezado y la carga útil para que puedas leerlos. Trata cualquier token que decodifiques aquí como no confiable hasta que tu backend valide la firma contra la clave del emisor.

¿Es seguro pegar un JWT real aquí?

Todo se ejecuta en tu navegador: el token nunca se sube, almacena o registra. Dicho esto, un token de acceso en tus manos es tan poderoso como una contraseña: si tu navegador tiene extensiones que leen el contenido de la página, podrían teóricamente verlo. Para depuración paranoica, usa una ventana privada nueva o decodifica sin conexión.

¿Por qué la firma se muestra como bytes en lugar de texto?

La firma es un blob binario en bruto: típicamente 32 bytes para HS256, 256 bytes para RS256. Está codificada en base64url en el token, pero la forma decodificada no es legible por humanos, así que la herramienta informa el conteo de bytes en lugar de intentar mostrar caracteres distorsionados.

¿Cuál es la diferencia entre exp, iat y nbf?

Son las tres reclamaciones de tiempo estándar del RFC 7519. exp es el tiempo de expiración: después de este momento, el token es inválido. iat es el tiempo de emisión: cuando se creó el token. nbf es no antes: el momento más temprano en que se puede usar el token. Los tres se miden en segundos desde la época Unix.

Mis marcas de tiempo parecen muy desfasadas, ¿están mal?

Los JWT utilizan segundos desde la época, no milisegundos. Esta herramienta detecta automáticamente la unidad comprobando si el valor está por encima de 10^12 (tratado como milisegundos). Si tienes una reclamación no estándar que almacena una marca de tiempo bajo un nombre diferente, se mostrará como un número en bruto en lugar de una fecha.

¿Por qué falla la decodificación con "no es un base64url válido"?

El segmento contiene caracteres fuera del alfabeto base64url (A-Z a-z 0-9 - _) o le falta relleno. Copiar y pegar desde clientes de correo electrónico o aplicaciones de chat puede introducir silenciosamente espacios en blanco o comillas inteligentes. Intenta copiar el token desde una fuente nueva como las herramientas de desarrollo del navegador.

¿Puedo decodificar un JWT encriptado (JWE)?

No. Esta herramienta decodifica JWT firmados (JWS). Un token JWE tiene cinco segmentos en lugar de tres y su carga útil está encriptada en lugar de solo codificada: necesitas la clave privada del destinatario para leerlo. Un token JWS regular con una reclamación encriptada (como los tokens opacos de Auth0) tampoco se decodificará en JSON legible.

¿Necesito la opción Base64 segura para URL?

Los segmentos de JWT siempre están codificados en base64url, así que la herramienta lo maneja automáticamente: no se necesita opción. Si necesitas codificar o decodificar texto base64url arbitrario fuera de un JWT, utiliza el codificador Base64 separado con la casilla de verificación segura para URL habilitada.

Última actualización 2026-04-21

Cargando...

¿Qué es un JWT?

Cómo usar el decodificador JWT

Pega tu token

Copia un JWT de un encabezado de autorización, un registro de depuración o una URL. Debería verse como eyJ...eyJ...firma con tres segmentos.

Revisa el encabezado y la carga útil

El encabezado muestra el algoritmo (alg) y el tipo de token (typ). La carga útil enumera cada reclamación: sub, iss, aud, exp, iat y cualquier campo personalizado.

Verifica la expiración de un vistazo

Los banners de validez te indican inmediatamente si el token está expirado, activo o aún no es válido (nbf). Las reclamaciones de tiempo se muestran tanto en UTC como en forma relativa.

Copia secciones individuales

Usa el botón de copiar en el panel de encabezado o carga útil para obtener un JSON limpio para depuración, compartir o pegar en otra herramienta.

Anatomía del JWT

Un JWT tiene tres segmentos codificados en base64url unidos por puntos:
 
    encabezado.carga útil.firma
 
Encabezado  — JSON que describe el algoritmo de firma
          { "alg": "HS256", "typ": "JWT" }
 
Carga útil — JSON que lleva las reclamaciones
          { "sub": "1234", "exp": 1700000000 }
 
Firma — HMAC o RSA sobre encabezado.carga útil, codificado en base64url
 
Reclamaciones de tiempo estándar (segundos desde la época):
  exp  = tiempo de expiración
  iat  = emitido en
  nbf  = no antes de

Ejemplos

Entrada	Salida
Encabezado: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Encabezado mínimo para un token HMAC-SHA256.
Carga útil con reclamación exp	{ "sub": "1234", "exp": 1700000000 } exp son segundos desde la época — 2023-11-14 en UTC.
Token expirado	Token expirado · Expira 2024-01-01 (hace 3 meses) El banner de validez se vuelve rojo cuando exp está en el pasado.
Token malformado (solo dos segmentos)	Token inválido: se esperaban 3 segmentos, se obtuvieron 2 Un JWT debe tener exactamente tres partes separadas por puntos en base64url.

Casos de uso comunes

Depurar un token de acceso OAuth para ver qué alcances y audiencia lleva

Verificar si una solicitud fallida se debe a un token expirado

Inspeccionar un token de ID de OpenID Connect para leer las reclamaciones del usuario como sub y email

Decodificar un token de enlace mágico o de restablecimiento de contraseña para confirmar la carga útil firmada

Verificar que el emisor correcto (iss) y la audiencia (aud) estén configurados en un token

Leer el encabezado kid para averiguar qué clave de firma se utilizó

Comparar dos tokens lado a lado al investigar un error de sesión

Enseñar a los compañeros de equipo cómo están estructurados los JWT sin escribir ningún código