Herramientas en español / Decodificar JWT online — ver claims y expiración sin enviar el tokenEnglish version →
Decodificar JWT online — ver claims y expiración sin enviar el token
Un JWT tiene tres partes separadas por puntos: header.payload.signature. Las dos primeras son solo base64url — cualquiera con el token puede leerlas; no están cifradas. Esta herramienta las decodifica, muestra los claims y convierte exp/iat en fechas legibles, diciéndote al momento si el token está caducado (la causa n.º 1 de los 401).
Lo importante: la decodificación ocurre íntegramente en tu navegador. Pegar un token de producción en una web que lo procesa en su servidor equivale a regalar una credencial activa; aquí no sale de tu máquina. Aun así, un token que ya se expuso en cualquier sitio debería rotarse.
Cómo se usa
- Pega el JWT completo (quita el prefijo «Bearer » si lo lleva)
- Lee el header, el payload y la expiración ya convertida a fecha
- Para verificar la firma, usa después la herramienta JWT Signature Verifier
Preguntas frecuentes
- Si cualquiera puede leerlo, ¿puede falsificarlo?
- Leerlo sí; falsificarlo y que cuele, no: el servidor verifica la firma con su clave. Cambiar una sola letra del payload invalida la firma. La lección real es no meter secretos en el payload, porque es público para quien tenga el token.
- ¿Por qué exp muestra 1970 o un año absurdo?
- El emisor escribió milisegundos en vez de segundos (el estándar JWT usa segundos desde epoch). 13 dígitos = ms, 10 dígitos = segundos.
- Mi token tiene 5 partes y no se decodifica
- Es un JWE (JWT cifrado): el payload está realmente cifrado y no puede leerse sin la clave, a diferencia del JWS de 3 partes que solo va firmado.
Otras herramientas con explicación en español
- Formatear JSON online (JSON Formatter) — gratis
- Validar JSON online (JSON Validator) — con línea y columna del error
- Visualizar JSON como árbol y grafo interactivo (JSON Viewer)
- Codificar en Base64 online — con soporte UTF-8 (acentos y ñ)
- Decodificar Base64 online — UTF-8 correcto, apto para JWT
- URL Encode online — codificar texto para URLs (percent-encoding)