Introducción
Este decodificador JWT te ayuda a inspeccionar JSON Web Tokens directamente en el navegador. Pega un JWT o un Bearer token para decodificar el header y el payload, revisar claims como `iss`, `sub`, `aud`, `scope`, `iat`, `nbf` y `exp`, y comprobar rápidamente si el token parece expirado o todavía no es válido. Todo se procesa localmente para un flujo de depuración más seguro.
Cómo usarlo
Pega un JWT completo o un Bearer token en el área de entrada. La herramienta elimina el prefijo Bearer si existe, separa el token por puntos, decodifica el header y el payload en formato Base64URL y los muestra como JSON legible. Luego revisa el resumen de claims y el panel de tiempos, y copia o descarga el resultado si necesitas compartirlo o compararlo entre entornos. Esta herramienta no verifica la firma, así que sirve para inspección y no para decisiones de confianza.
Funciones
- •Decodificación local de header y payload JWT en el navegador
- •Admite cadenas JWT directas y Bearer tokens
- •Salida JSON legible para header y payload
- •Inspección de `iat`, `nbf` y `exp`
- •Resumen rápido de algoritmo, emisor, sujeto, audiencia, scope y key ID
- •Copiar o descargar el JSON decodificado para depuración
- •Avisos cuando el token parece expirado o todavía no es válido
- •Sin subida al servidor y sin verificación de firma
Qué muestra un decodificador JWT
Un JWT suele tener tres segmentos separados por puntos: header, payload y firma. El header describe metadatos como el algoritmo o el identificador de clave. El payload contiene claims que usan las APIs y las aplicaciones, por ejemplo a quién pertenece el token, para qué audiencia fue emitido y cuándo debe aceptarse o rechazarse.
Decodificar no significa verificar
Decodificar un JWT solo significa leer el JSON codificado en Base64URL dentro del token. No demuestra que el token sea auténtico, que no haya sido modificado ni que sea confiable. La verificación de firma requiere la clave correcta y debe realizarse en tu aplicación, gateway o capa de identidad.
Cómo leer exp, nbf e iat
iat suele indicar cuándo se emitió el token. nbf marca el momento más temprano en el que debe aceptarse, y exp indica cuándo deja de ser válido. Normalmente estos valores son marcas de tiempo Unix en segundos. Al depurar, compáralos con el reloj real del dispositivo o servicio que aplica la autorización.
Casos comunes de depuración de JWT
Un decodificador resulta útil cuando un Bearer token deja de funcionar en staging, cuando una API devuelve 401 Unauthorized, cuando la audiencia no coincide entre servicios o cuando una app móvil parece seguir usando un token antiguo tras refrescarlo. También sirve para comprobar si el token está mal formado antes de investigar claves de firma o almacenamiento de sesión.
Referencia de segmentos JWT
Cada segmento tiene un propósito distinto durante la depuración.
| Segmento | Suele contener | Nota práctica |
|---|---|---|
| Header | Algoritmo, tipo, key ID | Útil para confirmar formato y configuración de firma |
| Payload | Claims como iss, sub, aud y exp | Útil para revisar contexto de autorización y tiempos |
| Firma | Bytes de firma criptográfica | Su presencia no implica confianza si no se verifica |
Claims JWT comunes
Estos campos suelen revisarse cuando un token es rechazado.
| Claim | Significado | Nota de depuración |
|---|---|---|
| iss | Emisor | Comprueba si proviene del proveedor de identidad esperado |
| sub | Sujeto | Suele identificar al usuario, cuenta o servicio |
| aud | Audiencia | A menudo debe coincidir con la API o recurso receptor |
| nbf | No válido antes de | Un valor futuro puede provocar rechazo inmediato |
| exp | Hora de expiración | Es una causa muy común de respuestas 401 |
Preguntas frecuentes
¿Este decodificador JWT verifica la firma?
No. Solo decodifica las partes JSON legibles del token. La verificación de firma debe hacerse aparte con la clave correcta.
¿Los tokens se suben a un servidor?
No. El proceso se ejecuta localmente en tu navegador y no envía el contenido del token a un servidor.
¿Por qué mi token decodifica bien pero la API sigue fallando?
Porque un token puede decodificarse correctamente y aun así fallar por verificación de firma, audiencia incorrecta, issuer incorrecto, expiración, not-before, desfase horario o scopes insuficientes.
¿Puedo pegar un Bearer token copiado de una cabecera HTTP?
Sí. Si comienza con `Bearer `, la herramienta elimina el prefijo automáticamente antes de decodificar.
¿Qué pasa si mi token solo tiene dos segmentos?
Algunos tokens no firmados o no estándar omiten la firma. Aun así puedes inspeccionar header y payload, pero no debes tratarlo como un JWT firmado.