Decodifica un JSON Web Token para inspeccionar su cabecera y payload, con horas de emisión y caducidad legibles. Se ejecuta por completo en tu navegador; los tokens nunca se suben.
Cómo usar Decodificador JWT
Pega un JWT con la forma cabecera.payload.firma.
Lee la cabecera y el payload decodificados como JSON formateado.
Comprueba las horas de caducidad y de emisión, y si el token ha caducado.
Un JSON Web Token tiene tres partes separadas por puntos: una cabecera codificada en Base64URL, una carga útil codificada en Base64URL y una firma. Este decodificador divide y decodifica las dos primeras partes al instante en tu navegador, para que puedas leer lo que un token contiene en realidad.
El uso más común es inspeccionar un token que devolvió una API: quién lo emitió (iss), cuándo caduca (exp), qué permisos lleva (scope o roles) y si ya ha caducado.
La herramienta toma los segmentos de cabecera y carga útil y decodifica su contenido Base64URL de vuelta a JSON legible. No se envía nada a ningún sitio: la división y la decodificación ocurren de forma local en el momento en que pegas un token.
La caducidad se muestra en hora local legible, no en una marca de tiempo Unix en bruto, para que veas de un vistazo si el token sigue siendo válido. Lo mismo se aplica a otros valores de tiempo como iat y nbf, que se convierten en fechas que puedes interpretar de verdad.
Esta herramienta decodifica y muestra, no verifica la firma contra una clave secreta. Cualquiera puede leer la carga útil de un JWT sin clave, porque solo la firma está protegida, no el contenido.
Para verificar la firma necesitas el secreto de firma o la clave pública, que nunca deberían introducirse en una herramienta basada en navegador. No pegues secretos aquí.
El token nunca sale de tu dispositivo. Toda la decodificación se ejecuta en tu navegador, así que nada de lo que pegas se sube ni se almacena.
Preguntas frecuentes
No. Decodifica y muestra la cabecera y el payload. Verificar la firma necesita el secreto de firma o la clave pública, que no deberías pegar en ninguna herramienta web.
Decodificar lee la cabecera y el payload Base64url, que no están cifrados. Verificar recalcula la firma con la clave para demostrar que el token es auténtico y no se ha modificado.
La decodificación ocurre por completo en tu navegador, así que el token no se sube. Aun así, trata los tokens activos como secretos y evita pegarlos en ordenadores compartidos.
Son claims estándar: iat es la emisión, nbf es no-válido-antes y exp es la caducidad. El decodificador convierte estas marcas de tiempo Unix en hora local legible.
Sí. La caducidad no cambia cómo se decodifica un token, así que puedes inspeccionar los claims de un token caducado y ver exactamente cuándo expiró.
Un JWT está firmado, no cifrado. El payload solo está codificado en Base64url, así que cualquiera puede leerlo. No pongas nunca secretos en un payload JWT.
Insertar esta herramienta
Añade esta herramienta a tu propio sitio web. Copia el fragmento de abajo. Se mantiene actualizado automáticamente.
<iframe src="https://monu.tools/embed/es/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Herramientas relacionadas
Codifica texto a Base64 o decodifica Base64 a texto. Seguro con UTF-8 y con detección automática del sentido.
Codifica y decodifica URLs y componentes de URL con codificación porcentual, seguro con UTF-8.
Genera hashes SHA-1, SHA-256, SHA-384 y SHA-512 de cualquier texto, directamente en tu navegador.
Genera un HMAC para un mensaje y una clave secreta con SHA-1, SHA-256, SHA-384 o SHA-512, en tu navegador.