¿Algo va mal con esta herramienta?
Sobre «Decodificar JWT En Línea»
Esta herramienta decodifica un JSON Web Token (JWT) en sus tres partes constitutivas: header, payload y firma. Pega un token del flujo de autenticación de tu aplicación, un encabezado Authorization o una cookie, y la herramienta devuelve los contenidos JSON parseados del header y payload junto con los bytes brutos de la firma.
Los JWT se usan ampliamente para autenticación, gestión de sesiones y autorización de API. Decodificar (no verificar) revela qué datos lleva el token — ID de usuario, tiempo de expiración, scopes, claims personalizados — útil para depurar problemas de autenticación y confirmar lo que tu cliente realmente envió.
Importante: esta herramienta decodifica pero no verifica firmas. Un JWT decodificado muestra lo que el emisor afirma, no si esas afirmaciones son auténticas. Para verificaciones de seguridad, tu servidor debe verificar la firma con la clave pública del emisor.
Cómo usar esta herramienta
Cómo inspeccionar el header y payload de un JSON Web Token
Pega el JWT
Coloca el token en el campo «Token». Los JWT son `xxx.yyy.zzz` — tres segmentos base64url separados por puntos. La herramienta corta por puntos y decodifica los dos primeros.
Ejecutar
Resultado: `header` (algoritmo y tipo, p. ej. `{ "alg": "HS256", "typ": "JWT" }`) y `payload` (tus claims — `sub`, `exp`, `iat` + específicos de la app). El tercer segmento (firma) NO se verifica ni se muestra.
Lo que esto no es
Decodificar ≠ verificar. Cualquiera con el token puede leer el payload; lo que prueba autenticidad es la firma, que requiere la clave. No confíes en tokens sin verificar — usa jwt-encoder o tu librería de auth para verificar en tu propio servidor.
Claims dignos de revisión
`exp` es timestamp Unix — un token caducado no debe aceptarse aunque la firma sea válida. `iss` debe coincidir con el emisor esperado; `aud` con tu servicio. Si el payload se ve bien pero la auth falla, el problema es la firma, no los claims.