Handytool
Guía para desarrolladores5 min de lecturaActualizado 24 feb 2026

Utilidad Instantánea para Desarrolladores

Decodifica Cualquier JWT e Inspecciona Sus Claims al Instante

El decodificador JWT de Handytool divide cualquier JSON Web Token en su encabezado, carga útil y claims — con verificación de expiración y marcas de tiempo legibles — todo en tu navegador, sin tocar un servidor.

Abrir Decodificador JWTTodos los artículos

Puntos clave

  • 01Decodifica cualquier JWT e inspecciona encabezado, carga útil y claims estándar en un solo pegado.
  • 02Los claims exp, nbf e iat se convierten a marcas de tiempo legibles con etiquetas válido/expirado.
  • 03La decodificación es puramente local — segura para pegar tokens reales de producción mientras depuras.
  • 04El decodificador no verifica firmas — eso debe ocurrir en el servidor con la clave del emisor.

Por Qué Necesitas un Decodificador JWT

Los JSON Web Tokens parecen ruido aleatorio hasta que sabes que son tres segmentos codificados en Base64URL separados por puntos. El primer segmento es el encabezado (algoritmo y tipo de token), el segundo es la carga útil (los claims: ID de usuario, roles, expiración) y el tercero es la firma. Cuando depuras un problema de autenticación, una sesión expirada o una integración OAuth rota, lo primero que necesitas hacer es leer la carga útil.

Hacerlo manualmente significa dividir por puntos, decodificar Base64URL y luego convertir marcas de tiempo Unix a fechas legibles. El decodificador JWT de Handytool hace todo eso automáticamente y añade etiquetas de validez en los claims de tiempo para que veas de un vistazo si un token sigue activo.

Cómo Decodificar un Token JWT

  1. 01

    Copia el JWT

    Obtén el token de las DevTools de tu navegador (Application > Cookies, o el panel Network en el encabezado Authorization), de un archivo de registro o de tu cliente API.

  2. 02

    Pégalo en el decodificador

    Pega el token completo — incluyendo los tres segmentos separados por puntos — en la caja de entrada. El decodificador identifica los segmentos automáticamente.

  3. 03

    Lee el encabezado y la carga útil

    La herramienta divide el token e imprime con formato el encabezado (algoritmo, tipo) y la carga útil (todos los claims) como JSON formateado.

  4. 04

    Verifica los claims de tiempo

    Las marcas de tiempo Unix exp (expiración), nbf (no-antes) e iat (emitido-en) se convierten a fechas ISO. El decodificador etiqueta exp como verde (válido) o rojo (expirado) relativo a tu hora local actual.

Claims JWT Estándar Explicados

Estos nombres de claims registrados aparecen en la mayoría de los JWTs.

  • 01iss (Issuer) — identifica quién creó el token, típicamente una URL o nombre de servicio.
  • 02sub (Subject) — el principal que representa el token, usualmente un ID de usuario.
  • 03aud (Audience) — el(los) destinatario(s) previsto(s) del token; tu servidor debe rechazar tokens destinados a otros.
  • 04exp (Expiration) — marca de tiempo Unix después de la cual el token debe ser rechazado.
  • 05nbf (Not Before) — marca de tiempo Unix antes de la cual el token debe ser rechazado.
  • 06iat (Issued At) — marca de tiempo Unix cuando el token fue creado; útil para detectar tokens antiguos.

Seguro para Pegar Tokens Reales Mientras Depuras

La decodificación JWT ocurre completamente en tu navegador usando la función nativa atob y JSON.parse. Nada se transmite a ningún servidor — tu token se decodifica en memoria y se muestra localmente. Puedes pegar con seguridad tokens de acceso reales y tokens de sesión de entornos de desarrollo o staging para depurar flujos de autenticación.

Dicho esto, trata los JWTs como contraseñas. Otorgan acceso a tus sistemas durante toda su vida útil. No pegues tokens de producción de cuentas con altos privilegios en ninguna herramienta a menos que estés seguro de las garantías de privacidad de la herramienta — y siempre rota un token si crees que puede haber sido expuesto.

Preguntas Frecuentes del Decodificador JWT

¿Qué es un JWT?

Un JSON Web Token es un formato compacto y seguro para URL que consta de tres segmentos codificados en Base64URL (encabezado, carga útil, firma) separados por puntos. Los JWTs llevan claims — aserciones sobre un usuario o sesión — y se usan para autenticación, autorización y acceso a API.

¿Este decodificador verifica la firma del JWT?

No. El decodificador solo analiza el encabezado y la carga útil. La verificación de firma requiere la clave secreta o pública del emisor y debe ocurrir en tu código de aplicación usando una biblioteca de confianza.

¿Es seguro pegar un token de acceso real aquí?

La decodificación es completamente local — el token nunca se transmite. Sin embargo, los JWTs otorgan acceso real, así que trátalos como contraseñas. No los compartas, no los confirmes en control de versiones, y rotalos si pueden haber sido expuestos.

¿Qué significa el claim exp?

exp es la marca de tiempo de expiración — un entero Unix que representa el momento en que el token deja de ser válido. El decodificador lo convierte a una fecha ISO legible y lo marca como válido o expirado relativo a tu hora local actual.

¿Por qué la carga útil del JWT es visible sin una clave?

Las cargas útiles JWT están codificadas en Base64URL, no encriptadas. Están diseñadas para ser legibles — la firma solo prueba autenticidad, no confidencialidad. Nunca pongas datos verdaderamente secretos en una carga útil JWT a menos que uses JSON Web Encryption (JWE).

¿Es el decodificador gratuito?

Sí. Handytool es gratuito sin registro, sin límites de velocidad y sin recopilación de datos.

Herramientas relacionadas

Continúa trabajando con herramientas de Utilidad

herramientas de Utilidad