Handytool
UtilidadSe ejecuta localmente

Decodificador JWT

Decodifica JSON Web Tokens e inspecciona su encabezado, carga útil y afirmaciones — todo en tu navegador, nunca enviado a un servidor.

JWT
0 líneas0 bytes
Decodificado
0 líneas0 bytes

Handytool decodifica solo el encabezado y la carga útil. Las firmas deben verificarse lado servidor con la clave del emisor.

Acerca de Decodificador JWT

El decodificador JWT de Handytool analiza cualquier JSON Web Token en su encabezado y carga útil, destaca las afirmaciones estándar (iss, sub, aud, iat, exp, nbf) y muestra si el token ya ha expirado. Como la decodificación es puramente local, puedes pegar tokens de acceso real y tokens de sesión sin que salgan de tu dispositivo. Útil al depurar flujos de autenticación, integraciones OAuth o APIs de terceros que devuelven JWT de aspecto opaco.

Funciones de Decodificador JWT

  • 01

    Encabezado, carga útil y afirmaciones de un vistazo

    El decodificador divide tu JWT en sus tres segmentos, imprime bonito el encabezado y la carga útil como JSON y muestra afirmaciones estándar — algoritmo, asunto, emisor, audiencia, emitido-en, expiración — en un resumen compacto sobre la salida sin procesar.

  • 02

    Comprobaciones de expiración y tiempo

    La afirmación exp se traduce a una marca de tiempo ISO y se etiqueta como válida o expirada relativa a tu reloj actual. Lo mismo para nbf (no-antes) e iat (emitido-en). Sin más conversiones manuales de Unix a Fecha.

  • 03

    Solo decodificador — nunca se sube

    Los tokens se decodifican en tu navegador usando atob nativo. Nada se envía jamás a un servidor. Seguro para pegar JWT de producción, tokens de acceso API o cookies de sesión mientras depuras.

Preguntas frecuentes sobre Decodificador JWT

¿Qué es un JWT?
Un JSON Web Token es un formato de token compacto y seguro para URL hecho de tres segmentos codificados Base64URL separados por puntos: un encabezado (algoritmo y tipo), una carga útil (las afirmaciones) y una firma. Los JWT se usan ampliamente para autenticación, autorización y acceso API de corta vida.
¿Este decodificador verifica la firma?
No. El decodificador solo analiza el encabezado y la carga útil para mostrar qué hay dentro. La verificación de firma requiere el secreto del emisor o clave pública, que debe permanecer en tu servidor — nunca pegues en una herramienta web. Verifica firmas lado servidor en tu aplicación.
¿Es seguro pegar un JWT real aquí?
La decodificación ocurre completamente en tu navegador — el token nunca se transmite. Sin embargo, los JWT no están cifrados (cualquiera con el token puede leer las afirmaciones), así que trátalos como contraseñas: no los compartas, no los commitees, y rotarlos si se filtran.
¿Por qué se muestra la firma pero no se verifica?
La firma se muestra para que puedas compararla con lo que tu servidor produce durante la depuración. La verificación actual requiere la clave de firma (secreto HMAC o clave pública RSA/EC), a la que el decodificador no tiene acceso y no debería.
¿Qué significa "exp"?
exp es la afirmación de expiración — una marca de tiempo Unix después de la cual el token debería ser rechazado. El decodificador la convierte a una marca de tiempo ISO y muestra una etiqueta verde si aún está en el futuro, o una etiqueta roja si el token ya ha expirado.

Herramientas relacionadas

Utilidad

Explora otras herramientas

Todas las herramientas