Saltar al contenido
AldeaCode Logo
en
Desarrollador100% local · 0 bytes enviados

Decodificador JWT

Pega un JWT para inspeccionar su header y payload como JSON formateado sin enviar el token a ningún sitio. La firma se muestra pero nunca se verifica, esta es una herramienta de depuración, no un validador de autenticación. Los tokens con payloads no ASCII (UTF-8) se decodifican correctamente. Pasa los segmentos por el Codificador Base64, embellece el payload con el Formateador y Validador JSON, o hashea cualquier campo con el Generador de Hashes SHA.

Loading…

Cómo funciona

Dividimos el JWT por puntos en 3 partes. Las dos primeras se decodifican con Base64URL (cambio de alfabeto, padding restaurado) y se parsean como JSON. El UTF-8 se maneja con TextDecoder. La firma se muestra cruda y no se valida.

Cómo usarla

  1. Pega el JWT

    Pega un JSON Web Token completo, con o sin el prefijo Bearer. Los tres segmentos Base64URL se separan automáticamente.

  2. Inspecciona el header

    El decoder muestra el algoritmo, el key id y cualquier otro campo del header en JSON pretty-printed.

  3. Inspecciona el payload

    El payload se renderiza como JSON. Claims estándar como exp, iat o sub se identifican. Los custom claims aparecen inline.

  4. Verifica que nada sale de la pestaña

    Decodificar no valida la firma. El token se procesa íntegramente en tu navegador. Nada se loguea ni se envía.

Casos de uso

Depurar un token de auth de API para revisar claims y expiración.

Inspeccionar un token devuelto por un flujo OAuth.

Verificar el issuer (iss) y audience (aud) de un token.

Leer claims personalizadas mientras desarrollas una capa de autorización.

Confirmar que un token está bien formado antes de enviarlo al backend.

Cuándo NO usarlo

  • Para verificar un JWT. Esta herramienta solo decodifica header y payload; no comprueba la firma. La verificación requiere la clave secreta o pública en un backend.
  • Con tokens que no son tuyos. Los JWT son credenciales, trátalos como contraseñas.
  • Para inspeccionar refresh tokens rotantes en capturas compartidas. El payload decodificado suele tener IDs de usuario, scopes y expiración.

Tus datos nunca salen de tu navegador

Cada utilidad se ejecuta íntegramente en tu dispositivo. No se sube nada, no se almacena nada en un servidor. Puedes desconectarte de internet y siguen funcionando.

Preguntas frecuentes

Herramientas relacionadas

Destinos curados. Las herramientas complementarias encadenan bien; las alternativas cambian el enfoque; las de siguiente paso continúan donde termina esta.

Combina con

O usa en su lugar