Toolinix – simple online developer tools

Decodificador JWT

Todas las herramientas

Pegue un token JWT a continuación para decodificar el encabezado y la carga útil. La decodificación no verifica la firma.

alg
tipo
exp. (UTC)

Nota: esta herramienta solo decodifica. No valida ni verifica firmas.

¿Qué es un JWT?

JWT (JSON Web Token) es un formato de token compacto que se utiliza para autenticación y autorización.

Un JWT suele tener tres partes: encabezado, carga útil y firma. Esta herramienta decodifica el encabezado y la carga útil localmente en su navegador y no verifica la firma.

Cómo utilizar el decodificador JWT

  1. Pegue un token JWT en el campo de entrada.
  2. La herramienta decodificará el encabezado y la carga útil como formato JSON.
  3. Copie el JSON decodificado si lo necesita para la depuración.

Consejos

  • Si la decodificación falla, verifique que su token tenga tres partes separadas por puntos.
  • Afirmaciones como exp, iat y nbf suelen ser segundos UNIX.
  • Si su token fue copiado con espacios o saltos de línea, elimínelos.
  • La verificación de la firma requiere la clave pública o secreta y no se realiza aquí.

Guías relacionadas

Aprenda el workflow detrás de esta herramienta y qué revisar después.

Auth y seguridad

Cómo inspeccionar problemas de autenticación JWT

Flujo JWT para revisar claims, time values, permisos y signing assumptions sin tratar decode como verification.

Leer guía
Dominios y seguridad

Cómo validar un dominio antes del lanzamiento

Flujo de lanzamiento para confirmar DNS records, señales de propiedad, cobertura SSL y security headers en el endpoint público.

Leer guía

Inspección JWT antes de depurar auth

Decodificar un JWT ayuda a revisar claims y expiración, pero no verifica que el token sea confiable.

Expiración

Revise exp, iat, nbf, zonas horarias y clock skew antes de depurar sesiones.

Audience e issuer

Confirme aud, iss, tenant, client_id y entorno contra el servicio validador.

Roles y scopes

Revise scopes, roles, permisos y flags cuando una petición autenticada no está autorizada.

Firma

Contenido decodificado no es verificación. No trate un token sin verificar como identidad válida.

Privacidad y uso

Comprobaciones rápidas sin cuenta

Toolinix está pensado para tareas cortas de desarrollo: pegue una muestra segura, revise el resultado, copie lo necesario y continúe.

Sin inicio de sesión

Puede usar las herramientas sin crear una cuenta, suscribirse a un boletín ni guardar un espacio de trabajo.

Local cuando es posible

Los formateadores, generadores, codificadores y utilidades de texto suelen ejecutarse en el navegador. Los diagnósticos de red pueden necesitar una consulta asistida por servidor para comprobar URLs, dominios o IPs públicos.

No pegue secretos

No pegue contraseñas de producción, claves privadas, tokens de acceso, datos de clientes ni datos regulados en herramientas online salvo que su propia política de seguridad lo permita.

Herramientas relacionadas

Estas herramientas también pueden resultarle útiles.

Codificador JWT (HS256)
Genere tokens JWT firmados usando HS256 (HMAC SHA-256) directamente en su navegador.
Codificación y seguridad
Depurador JWT
Analice, valide y edite tokens JWT en línea.
Codificación y seguridad
Codificador/Decodificador Base64
Codifica y decodifica Base64 en línea al instante. Convertidor Base64 gratuito sin iniciar sesión.
Codificación y seguridad
Generador HMAC
Genere firmas HMAC-SHA-256, SHA-1 y SHA-512 instantáneamente en su navegador.
Codificación y seguridad

Preguntas frecuentes sobre el decodificador JWT

¿Esta herramienta verifica la firma JWT?
No. Solo decodifica el encabezado y la carga útil.
¿Se envía mi token al servidor?
No. La decodificación ocurre localmente en su navegador.
¿Por qué veo un campo de exp?
exp es el reclamo de tiempo de vencimiento, generalmente almacenado como segundos UNIX.
¿Puedo decodificar un JWT cifrado (JWE)?
Esta herramienta está diseñada para JWT firmados estándar (JWS). Los tokens cifrados (JWE) requieren claves de descifrado.