¿La descodificación verifica la firma?

No. Los JWT están firmados, no cifrados. Esta herramienta descodifica el encabezado y el payload (que son Base64 simple) sin necesidad de la clave secreta. Para verificar la firma necesitas la clave que usó el emisor, y esa no es parte del token. La descodificación sirve para inspeccionar contenido, no para validar autenticidad.

¿Puedo leer claims sensibles en un JWT?

Sí, y es importante saberlo: el payload de un JWT está en texto simple (Base64), no cifrado. Quien tenga acceso al token puede leer todo lo que hay dentro. No pongas contraseñas, números de tarjeta o datos personales sensibles en un JWT, aunque esté firmado.

¿Qué claims son estándar?

iss (issuer, quien lo emitió), sub (subject, a quien se refiere), aud (audience, para quién es), exp (expiration, momento en que expira), nbf (not before, antes de este momento no es válido), iat (issued at, cuándo se emitió), jti (identificador único del token). Otras claims pueden ser personalizadas por la aplicación.

Decodificador JWT Gratis Online. Decodifica e Inspecciona Tokens

Token JWT

Pega un token para ver las partes decodificadas.

Sobre esta herramienta

Descodifica un JSON Web Token y muestra el encabezado, el payload, las claims y el estado de validez. Útil para depurar autenticación, entender qué datos pasa una aplicación en un token, comprobar si un token ha expirado, o simplemente saber qué hay dentro de esa cadena larga que aparece en las cookies.

Cómo usar

Pega el JWT en el campo de entrada.
Mira el encabezado (header) con el algoritmo y tipo, y el payload con las claims.
Comprueba el estado: si el token está expirado, todavía no es válido o está dentro de plazo.
Inspecciona claims estándar (iss, sub, exp, iat) y personalizadas.

Preguntas frecuentes

¿La descodificación verifica la firma?: No. Los JWT están firmados, no cifrados. Esta herramienta descodifica el encabezado y el payload (que son Base64 simple) sin necesidad de la clave secreta. Para verificar la firma necesitas la clave que usó el emisor, y esa no es parte del token. La descodificación sirve para inspeccionar contenido, no para validar autenticidad.
¿Puedo leer claims sensibles en un JWT?: Sí, y es importante saberlo: el payload de un JWT está en texto simple (Base64), no cifrado. Quien tenga acceso al token puede leer todo lo que hay dentro. No pongas contraseñas, números de tarjeta o datos personales sensibles en un JWT, aunque esté firmado.
¿Qué claims son estándar?: iss (issuer, quien lo emitió), sub (subject, a quien se refiere), aud (audience, para quién es), exp (expiration, momento en que expira), nbf (not before, antes de este momento no es válido), iat (issued at, cuándo se emitió), jti (identificador único del token). Otras claims pueden ser personalizadas por la aplicación.

Herramientas relacionadas

Desarrollador/Formateador de JSON Desarrollador/Generador de UUID Desarrollador/¿Cuál es Mi IP?Desarrollador/Texto a Slug Desarrollador/Generador de Lorem Ipsum Desarrollador/Codificador / Decodificador Base64 Desarrollador/Probador de Regex Desarrollador/Visor JSON Desarrollador/Estimador de Tokens Desarrollador/Visor XML Desarrollador/Generador de Bloques de Comentarios Desarrollador/Convertidor de Timestamp Unix Desarrollador/Conversor JSON, YAML, CSV Desarrollador/Visor y Editor de CSV Desarrollador/Visor y Editor de YAML Desarrollador/Visualizador de Algoritmos de Ordenación