Herramientas en español / Decodificar JWT online — ver claims y expiración sin enviar el tokenEnglish version →

Decodificar JWT online — ver claims y expiración sin enviar el token

Un JWT tiene tres partes separadas por puntos: header.payload.signature. Las dos primeras son solo base64url — cualquiera con el token puede leerlas; no están cifradas. Esta herramienta las decodifica, muestra los claims y convierte exp/iat en fechas legibles, diciéndote al momento si el token está caducado (la causa n.º 1 de los 401).

Lo importante: la decodificación ocurre íntegramente en tu navegador. Pegar un token de producción en una web que lo procesa en su servidor equivale a regalar una credencial activa; aquí no sale de tu máquina. Aun así, un token que ya se expuso en cualquier sitio debería rotarse.

Cómo se usa

  1. Pega el JWT completo (quita el prefijo «Bearer » si lo lleva)
  2. Lee el header, el payload y la expiración ya convertida a fecha
  3. Para verificar la firma, usa después la herramienta JWT Signature Verifier

Preguntas frecuentes

Si cualquiera puede leerlo, ¿puede falsificarlo?
Leerlo sí; falsificarlo y que cuele, no: el servidor verifica la firma con su clave. Cambiar una sola letra del payload invalida la firma. La lección real es no meter secretos en el payload, porque es público para quien tenga el token.
¿Por qué exp muestra 1970 o un año absurdo?
El emisor escribió milisegundos en vez de segundos (el estándar JWT usa segundos desde epoch). 13 dígitos = ms, 10 dígitos = segundos.
Mi token tiene 5 partes y no se decodifica
Es un JWE (JWT cifrado): el payload está realmente cifrado y no puede leerse sin la clave, a diferencia del JWS de 3 partes que solo va firmado.