ConvertiloConvertilo

Decodificador de JWT Online — Decodificar Tokens JWT

Decodifica un token JWT e inspecciona su cabecera, carga útil, fecha de emisión (iat) y expiración (exp). La decodificación ocurre localmente en tu navegador — tu token no se sube.

Sobre el decodificador de JWT

Un JWT (JSON Web Token) es un token compacto de tres partes separadas por puntos: cabecera.carga útil.firma. La cabecera y la carga útil son JSON codificado en base64url, así que pueden leerse sin un secreto. La firma protege el token contra manipulaciones y requiere una clave para verificarse. Esta herramienta solo decodifica las partes visibles — todo ocurre en tu navegador, tu token nunca se sube.

Cuándo necesitas un decodificador de JWT

Depuración de autenticación

Comprueba qué pone realmente tu servidor de autenticación en la carga útil: id de usuario, roles, scopes, claims. Compara iat/exp con la hora del servidor cuando las peticiones empiezan a devolver 401.

Token caducado

Si tu aplicación informa de un «token expirado», pega el JWT y verás al instante exp en formato legible — a veces es solo el reloj del cliente el que está mal.

Cargas útiles de OAuth / OIDC

Al integrar con OAuth2 / OpenID Connect — comprueba qué claims emite realmente tu proveedor (sub, iss, aud, scope) y si coinciden con lo que esperas.

Leer id_token en el frontend

Del id_token a menudo necesitas extraer el correo, el nombre o los roles — el decodificador muestra el JSON que luego puedes analizar en tu código mediante atob.

Preguntas frecuentes

¿Es seguro pegar un JWT en esta herramienta?

La decodificación se ejecuta en tu navegador en JavaScript, el token no se envía a convertilo. Aun así, para secretos de producción es preferible usar utilidades locales — las herramientas online públicas es mejor evitarlas para tokens en producción.

¿Por qué no se verifica la firma?

Verificar la firma necesita el secreto (HS256) o la clave pública (RS256/ES256). El decodificador solo divide la estructura y muestra los claims — para verificación criptográfica usa una biblioteca (jsonwebtoken, jose, etc.).

¿Es JWT lo mismo que cifrado?

No, un JWT normal (JWS) está firmado pero NO cifrado. Cualquiera que tenga el token puede leer la carga útil. No pongas contraseñas, números de tarjeta u otros secretos dentro de él.

¿Qué significan iat, exp, nbf, sub, iss, aud?

iat — fecha de emisión (segundos unix). exp — expiración. nbf — no válido antes de (cuándo empieza a ser válido). sub — sujeto (id de usuario). iss — emisor (quién lo generó). aud — audiencia (para qué servicio es).

¿Puedo decodificar un JWT sin la clave de firma?

Sí — la cabecera y la carga útil son públicas, solo JSON codificado en base64url. «Decodificar» significa decodificar en base64url y analizar el JSON, que es exactamente lo que hace esta herramienta.