Monu Tools

Decodificador JWT

Decodifica un JSON Web Token para inspeccionar su cabecera y payload, con horas de emisión y caducidad legibles. Se ejecuta por completo en tu navegador; los tokens nunca se suben.

Cómo usar Decodificador JWT

  1. 01

    Pega un JWT con la forma cabecera.payload.firma.

  2. 02

    Lee la cabecera y el payload decodificados como JSON formateado.

  3. 03

    Comprueba las horas de caducidad y de emisión, y si el token ha caducado.

Qué te muestra un decodificador de JWT

Un JSON Web Token tiene tres partes separadas por puntos: una cabecera codificada en Base64URL, una carga útil codificada en Base64URL y una firma. Este decodificador divide y decodifica las dos primeras partes al instante en tu navegador, para que puedas leer lo que un token contiene en realidad.

El uso más común es inspeccionar un token que devolvió una API: quién lo emitió (iss), cuándo caduca (exp), qué permisos lleva (scope o roles) y si ya ha caducado.

Cómo funciona la decodificación

La herramienta toma los segmentos de cabecera y carga útil y decodifica su contenido Base64URL de vuelta a JSON legible. No se envía nada a ningún sitio: la división y la decodificación ocurren de forma local en el momento en que pegas un token.

Leer la caducidad y las marcas de tiempo

La caducidad se muestra en hora local legible, no en una marca de tiempo Unix en bruto, para que veas de un vistazo si el token sigue siendo válido. Lo mismo se aplica a otros valores de tiempo como iat y nbf, que se convierten en fechas que puedes interpretar de verdad.

Decodificar no es verificar

Esta herramienta decodifica y muestra, no verifica la firma contra una clave secreta. Cualquiera puede leer la carga útil de un JWT sin clave, porque solo la firma está protegida, no el contenido.

Para verificar la firma necesitas el secreto de firma o la clave pública, que nunca deberían introducirse en una herramienta basada en navegador. No pegues secretos aquí.

Privacidad

El token nunca sale de tu dispositivo. Toda la decodificación se ejecuta en tu navegador, así que nada de lo que pegas se sube ni se almacena.

Preguntas frecuentes

¿Verifica la firma?

No. Decodifica y muestra la cabecera y el payload. Verificar la firma necesita el secreto de firma o la clave pública, que no deberías pegar en ninguna herramienta web.

¿Cuál es la diferencia entre decodificar y verificar?

Decodificar lee la cabecera y el payload Base64url, que no están cifrados. Verificar recalcula la firma con la clave para demostrar que el token es auténtico y no se ha modificado.

¿Es seguro pegar aquí mi token?

La decodificación ocurre por completo en tu navegador, así que el token no se sube. Aun así, trata los tokens activos como secretos y evita pegarlos en ordenadores compartidos.

¿Qué significan exp, iat y nbf?

Son claims estándar: iat es la emisión, nbf es no-válido-antes y exp es la caducidad. El decodificador convierte estas marcas de tiempo Unix en hora local legible.

¿Puedo decodificar un token caducado?

Sí. La caducidad no cambia cómo se decodifica un token, así que puedes inspeccionar los claims de un token caducado y ver exactamente cuándo expiró.

¿Por qué mi payload es legible sin una clave?

Un JWT está firmado, no cifrado. El payload solo está codificado en Base64url, así que cualquiera puede leerlo. No pongas nunca secretos en un payload JWT.

Fuentes

Insertar esta herramienta

Añade esta herramienta a tu propio sitio web. Copia el fragmento de abajo. Se mantiene actualizado automáticamente.

<iframe src="https://monu.tools/embed/es/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Herramientas relacionadas