Decodificador JWT

Pega un JWT para decodificar su header, payload e inspeccionar los claims. Todo se ejecuta en tu navegador — tu token nunca sale.

Cómo funciona: Pega un token JWT abajo para decodificar su header y payload al instante. La herramienta resalta el estado de expiración y muestra todos los claims en formato legible. Ningún dato se envía a ningún servidor.

Válido por 1d 0h· Emitido hace 1h 0m
Header
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload
{
  "sub": "1234567890",
  "name": "John Doe",
  "email": "john@example.com",
  "role": "admin",
  "iat": 1773346245,
  "exp": 1773436245,
  "iss": "https://auth.example.com",
  "aud": "https://api.example.com"
}
ClaimValor
sub1234567890
nameJohn Doe
emailjohn@example.com
roleadmin
iat1773346245 (2026-03-12T20:10:45.000Z)
exp1773436245 (2026-03-13T21:10:45.000Z)
isshttps://auth.example.com
audhttps://api.example.com
Firma

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

¿Qué es un JWT?

Un JSON Web Token (JWT) es una forma compacta y segura para URLs de representar claims entre dos partes. Consiste en tres partes separadas por puntos: header, payload y firma. El header especifica el algoritmo usado, el payload contiene los claims (datos), y la firma verifica la integridad del token. Los JWTs son ampliamente usados para autenticación y autorización en APIs web.

Estructura del JWT explicada

Cada parte de un JWT es JSON codificado en Base64URL. El header típicamente contiene el algoritmo (HS256, RS256) y tipo de token. El payload contiene claims como sub (sujeto), iat (emitido en), exp (expiración) y datos personalizados. La firma se crea firmando el header y payload con un secreto o clave privada.

Claims comunes de JWT

Los claims estándar incluyen: iss (emisor), sub (sujeto), aud (audiencia), exp (tiempo de expiración), nbf (no antes de), iat (emitido en) y jti (ID del JWT). Los claims personalizados pueden contener cualquier dato JSON como roles de usuario, permisos o información de perfil. Siempre valida el claim exp para verificar si un token ha expirado.

Consideraciones de seguridad

  • Nunca almacenes datos sensibles en payloads JWT — están codificados, no encriptados
  • Siempre verifica las firmas en el servidor
  • Usa tiempos de expiración cortos y refresh tokens
  • Prefiere RS256 sobre HS256 para APIs públicas
  • Nunca expongas tu secreto de firma en código del cliente
  • Usa HTTPS para prevenir interceptación de tokens