KitMul MarkKitMul Text

Decodificador de Payload y Header JWT

Visualiza e inspecciona el encabezado y el payload de tus JSON Web Tokens al instante.

El Decodificador JWT te permite pegar cualquier JSON Web Token y visualizar instantáneamente su cabecera (algoritmo, tipo de token) y carga útil (claims, expiración, emisor) en un formato legible y estructurado. La decodificación se ejecuta completamente en tu navegador — tus tokens sensibles nunca se envían a ningún servidor. Busca entré claims, copia datos decodificados y comprende la estructura de tokens para depurar flujos de autenticación en aplicaciones web y móviles.

Tus datos no salen de tu navegador
¿Te ha sido útil está herramienta?
Tutorial

Cómo Decodificar un JWT

1
1

Pega tu Token

Copia la cadena JWT de tus cabeceras de solicitud, cookies o respuesta de autenticación y pegala en el campo de entrada.

2
2

Inspecciona la Salida Decodificada

La herramienta divide y decodifica al instante las secciones de header y payload, mostrando el algoritmo, claims y expiracion en JSON legible.

3
3

Busca y Copia Claims

Usa la barra de búsqueda para encontrar claims específicos en payloads grandes. Copia secciones individuales o la salida decodificada completa con un clic.

Guide

Guía Completa de JSON Web Tokens

¿Qué es un JSON Web Token (JWT)?

Un JSON Web Token (JWT, pronunciado 'yot') es un medio compacto y seguro para URLs de representar claims que se transfieren entre dos partes. Consiste en tres partes codificadas en Base64Url separadas por puntos: la Cabecera (especificando el algoritmo y tipo de token), la Carga Útil (conteniendo claims como ID de usuario, email, roles y tiempo de expiración) y la Firma (usada para verificar que el token no ha sido manipulado). Los JWTs son el estándar de autenticación en aplicaciones web modernas, APIs y arquitecturas de microservicios.

Por qué la decodificación JWT importa para los desarrolladores

Los desarrolladores frecuentemente necesitan inspeccionar JWTs durante la depuración de autenticación, integración de APIs y auditoría de seguridad. Entender qué claims contiene un token — quién lo emitió (iss), cuándo expira (exp), qué permisos otorga (scope o roles) — es esencial para solucionar fallos de inició de sesión, errores de permisos y problemas de renovación de tokens. Un decodificador JWT transforma la cadena opaca de Base64 en JSON legible, haciendo estos detalles instantáneamente visibles sin escribir código personalizado.

Conceptos clave de JWT

Los claims registrados son campos estandarizados: iss (emisor), sub (sujeto), aud (audiencia), exp (expiración), nbf (no antes de), iat (emitido en), jti (ID único). Los claims personalizados llevan datos específicos de la aplicación como roles o permisos. La cabecera específica el algoritmo de firma — comúnmente HS256 (HMAC-SHA256) para firma simétrica o RS256 (RSA-SHA256) para firma asimétrica. Importante: la decodificación revela la carga útil, pero solo la verificación de firma (que requiere la clave secreta) confirma que el token es auténtico y no ha sido modificado.

Mejores prácticas de seguridad JWT

Nunca almacenes JWTs en localStorage — usa cookies httpOnly para prevenir ataques XSS. Establece tiempos de expiración cortos (15-60 minutos) y usa tokens de refresco para sesiones más largas. Siempre válida la firma del lado del servidor antes de confiar en los claims. No pongas datos sensibles en la carga útil — los JWTs están codificados, no encriptados, lo que significa que cualquiera puede leer la carga útil. Usa HTTPS exclusivamente para prevenir interceptación de tokens. Rota las claves de firma periódicamente. Al depurar con está herramienta, recuerda que decodificar no es verificar.

Sources

Examples

Ejemplos Resueltos

Ejemplo: Depurar un Token Expirado

Dado: Un usuario reporta que no puede acceder a la API a pesar de estar logueado.

1

Paso 1: Copia el JWT de las cabeceras de la solicitud del usuario.

2

Paso 2: Pégalo en el decodificador para ver la carga útil.

3

Paso 3: Revisa el claim 'exp' (expiración) — muestra un timestamp Unix que ya ha pasado.

4

Paso 4: El token expiró y el mecanismo de refresco falló.

Resultado: El problema es un token expirado. Corrige el flujo de token de refresco para renovar tokens automáticamente antes de la expiración.

Ejemplo: Verificar Claims del Token

Dado: Una API devuelve 403 Prohibido para un usuario que debería tener acceso admin.

1

Paso 1: Decodifica el JWT del usuario.

2

Paso 2: Revisa el claim 'roles' en la carga útil — muestra ['user'] pero no ['admin'].

3

Paso 3: El rol del usuario no fue actualizado en el proveedor de identidad después de la promoción.

Resultado: Actualiza el rol del usuario en el proveedor de identidad y pide que se re-autentique para recibir un nuevo token con claims de admin.

Casos de uso

Casos de uso

Depuración de autenticación

Decodifica tokens JWT para identificar problemas de autenticación como tokens expirados, claims faltantes o roles incorrectos en aplicaciones web y APIs REST, acelerando la resolución de problemas de acceso.

Integración de APIs

Inspecciona los claims y permisos de tokens emitidos por proveedores de identidad como Auth0, Firebase o AWS Cognito para verificar que la configuración de OAuth 2.0 sea correcta durante la integración.

Auditoría de seguridad

Revisa tokens JWT para verificar que no contengan información sensible en el payload, que los algoritmos de firma sean seguros y que los tiempos de expiración sean adecuados para las políticas de seguridad.

Preguntas Frecuentes

?¿Qué hace un decodificador JWT?

Un decodificador JWT extrae y muestra los datos del encabezado y payload codificados en un JSON Web Token. Revela el algoritmo, tipo de token, claims, tiempo de expiración y otros metadatos sin necesidad de una clave secreta.

?¿Es seguro decodificar JWTs online?

Sí, está herramienta decodifica JWTs íntegramente en tu navegador usando JavaScript. Tu token nunca se envía a ningún servidor, garantizando 100% de privacidad. Sin embargo, evita compartir tokens decodificados que contengan claims sensibles.

?¿Está herramienta verifica las firmas JWT?

No, está herramienta solo decodifica el encabezado y el payload. No verifica la firma criptográfica. Para verificar la firma, necesitas la clave secreta o pública y una librería del lado del servidor.

?¿Cuáles son las tres partes de un JWT?

Un JWT consta de tres partes codificadas en Base64Url separadas por puntos: el Header (algoritmo y tipo de token), el Payload (claims y datos) y la Signature (utilizada para la verificación).

?¿Puedo decodificar tokens JWT expirados?

Sí, el decodificador funciona con cualquier formato JWT válido sin importar si el token ha expirado. Puedes inspeccionar el claim 'exp' en el payload para ver la marca de tiempo exacta de expiración.

?¿Qué claims de JWT puedo ver?

Puedes ver todos los claims estándar como iss (emisor), sub (sujeto), aud (audiencia), exp (expiración), iat (emitido en) y nbf (no antes de), así como cualquier claim personalizado añadido por el emisor del token.

?¿Cómo uso este decodificador JWT?

Simplemente pega tu cadena JWT (en el formato header.payload.signature) en el campo de entrada. La herramienta decodifica y muestra instantáneamente tanto la sección del encabezado como la del payload en un formato legible.

Ayúdanos a mejorar

¿Qué te parece está herramienta?

Cada herramienta de Kitmul se construye a partir de peticiones reales de usuarios. Tu valoración y tus sugerencias nos ayudan a arreglar bugs, añadir funciones que faltan y construir las herramientas que realmente necesitas.

Valora está herramienta

Pulsa una estrella para contarnos lo útil que te ha resultado.

Sugiere una mejora o reporta un bug

¿Te falta alguna función? ¿Has encontrado un falló? ¿Tienes una idea? Cuéntanoslo y lo revisaremos.

Herramientas relacionadas

Visualizador de Árbol de Sintaxis Abstracta (AST)

Visualiza la estructura de tu código JavaScript con un árbol AST detallado.

Probar herramienta

Visualizador de Textos Big Data

Visualiza y busca eficientemente en archivos de texto extremadamente grandes utilizando buffering e infinite scroll.

Probar herramienta

Compara Curvas de Complejidad Big O

Visualiza y compara curvas de complejidad Big O desde O(1) hasta O(n!) en un gráfico interactivo.

Probar herramienta
Lectura Recomendada

Libros Recomendados sobre Seguridad Web y Autenticación

OAuth 2 in Action

OAuth 2 in Action

Justin Richer

The Web Application Hacker's Handbook

The Web Application Hacker's Handbook

Dafydd Stuttard

Identity and Data Security for Web Development

Identity and Data Security for Web Development

Jonathan LeBlanc

Cómo asociado de Amazon, ganamos con las compras que califican.

Potencia tus Capacidades

Productos Profesionales para Potenciar tu Entorno de Desarrollo

Q1 Pro Wireless Custom Mechanical Keyboard, QMK/VIA Programmable Full Aluminum 75% Layout Bluetooth/Wired RGB with Hot-swappable

Q1 Pro Wireless Custom Mechanical Keyboard, QMK/VIA Programmable Full Aluminum 75% Layout Bluetooth/Wired RGB with Hot-swappable

Keychron

27UP850K-W 27-inch Ultrafine 4K UHD (3840 x 2160) IPS Computer Monitor, 60Hz, 5ms, DisplayHDR 400, Built-in Speaker

27UP850K-W 27-inch Ultrafine 4K UHD (3840 x 2160) IPS Computer Monitor, 60Hz, 5ms, DisplayHDR 400, Built-in Speaker

LG

MX Master 3S - Wireless Performance Mouse with Ultra-Fast Scrolling, Ergo, 8K DPI, Track on Glass, Quiet Clicks, USB-C

MX Master 3S - Wireless Performance Mouse with Ultra-Fast Scrolling, Ergo, 8K DPI, Track on Glass, Quiet Clicks, USB-C

Logitech

Cómo asociado de Amazon, ganamos con las compras que califican.

Boletín

Recibe Consejos de Productividad y Nuevas Herramientas Primero

Únete a creadores y desarrolladores que valoran la privacidad. En cada edición: nuevas herramientas, trucos de productividad y novedades — sin spam.

Acceso prioritario a nuevas herramientas
Cancela en cualquier momento, sin preguntas