A JWT (JSON Web Token) is a compact, self-contained token consisting of three Base64URL-encoded parts: a header (algorithm), a payload (claims), and a signature. It is used for authentication and secure data exchange between parties.

How do I decode a JWT without a library?

Paste the JWT into this tool and it instantly displays the decoded header, payload, and signature. No library or server needed — decoding happens entirely in your browser.

Does decoding a JWT verify its signature?

Decoding reads the payload without verifying the signature. Signature verification requires the secret or public key. This tool shows you the claims inside the token; use server-side code to verify signatures in production.

Is it safe to paste a JWT into an online tool?

DevToys Web Pro processes your JWT entirely in your browser — no data is sent to any server. This makes it safe for inspecting production tokens during debugging.

Codificador / decodificador de JWT

Configuración

Modo
Decodificar

Aviso de seguridadPara tu protección, toda la depuración y validación de JWT se realiza en el navegador. Ten cuidado con dónde pegas o compartes JWT, ya que pueden contener información sensible.

JWT

Partes codificadas por color:

Encabezado

Carga útil

Firma

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Configuración de validación

Validar firma

Desactivado

Validar vigencia

Desactivado

Validar emisor

Desactivado

Validar audiencia

Desactivado

Detalles técnicos

Cómo funciona el codificador/decodificador JWT

Qué hace la herramienta

El decodificador JWT analiza y muestra el contenido de los JSON Web Tokens, desglosando los componentes de encabezado, carga útil y firma para su inspección y depuración. Este analizador jwt procesa tokens JWT y presenta la información decodificada en un formato legible, ayudando a los desarrolladores a entender la estructura y el contenido del token. Cuando necesitas decodificar jwt en línea o inspeccionar tokens jwt de APIs, sistemas de autenticación o encabezados de autorización, esta herramienta proporciona un análisis inmediato del token. El decodificador de json web token revela claims, tiempos de expiración, información del emisor y otros metadatos incrustados en los tokens. Este visor jwt funciona completamente en tu navegador, garantizando que los tokens nunca se transmitan a servidores externos. El depurador jwt ayuda a identificar problemas de formato del token, tokens expirados o valores de claims inesperados que podrían causar problemas de autenticación.

Casos de uso comunes para desarrolladores

Los desarrolladores usan decodificadores JWT al solucionar problemas de autenticación, analizar respuestas de API que contienen tokens o comprender implementaciones de seguridad basadas en tokens. La funcionalidad jwt en línea es esencial al depurar sistemas de inicio de sesión único (SSO), implementar flujos OAuth o trabajar con microservicios que usan JWT para comunicación entre servicios. Muchos desarrolladores necesitan analizar tokens jwt al crear middleware de autenticación, implementar lógica de renovación de tokens o validar claims del token en sistemas de autorización. El codificador jwt ayuda al crear tokens de prueba, implementar lógica de generación de tokens o entender cómo se construyen los tokens. La decodificación JWT es valiosa para auditorías de seguridad, monitoreo de expiración de tokens o analizar tokens recibidos de proveedores de identidad de terceros. El validador jwt ayuda a entender por qué podría fallar la validación del token o qué claims están disponibles para decisiones de autorización.

Formatos de datos, tipos o variantes

Los tokens JWT constan de tres partes codificadas en Base64 separadas por puntos: encabezado, carga útil y firma. El decodificador del encabezado jwt revela información del algoritmo (como HS256, RS256, ES256) y el tipo de token, mientras que el visor de la carga útil jwt muestra claims, incluidas claims estándar (iss, sub, aud, exp, iat) y claims personalizadas específicas de la aplicación. Diferentes algoritmos JWT usan varios métodos de firma: los algoritmos HMAC usan secretos compartidos, los algoritmos RSA usan pares de claves pública/privada y los algoritmos ECDSA usan criptografía de curva elíptica. El inspector jwt muestra las marcas de tiempo de expiración (exp), emitido en (iat) y no antes de (nbf) que controlan los periodos de validez del token. Algunos tokens incluyen claims de audiencia (aud) que restringen el uso del token a aplicaciones o servicios específicos. El proceso de decodificación maneja formatos de claims estándar y personalizados, mostrando objetos y arreglos anidados dentro de la carga útil del token.

Errores comunes y casos límite

Al usar decodificadores JWT, recuerda que decodificar solo revela el contenido del token y no valida firmas ni verifica la autenticidad del token. El decodificador de tokens jwt no puede determinar si un token es válido, está expirado o está correctamente firmado sin acceso a la clave de firma o a la lógica de validación. Los tokens malformados con codificación Base64 no válida o componentes faltantes causarán errores de decodificación. Algunos tokens pueden contener información sensible en claims que no debería registrarse ni mostrarse en herramientas de desarrollo. El proceso de analizar jwt debe considerar que el contenido del token no está cifrado, solo codificado, por lo que los datos sensibles nunca deben almacenarse en cargas útiles JWT. La desviación de reloj entre sistemas puede afectar la interpretación de marcas de tiempo, haciendo que los tokens parezcan expirados o aún no válidos. Valida siempre los tokens de forma programática en sistemas de producción en lugar de depender únicamente de la inspección visual del contenido decodificado.

Cuándo usar esta herramienta vs código

Usa este decodificador JWT basado en el navegador para una inspección rápida de tokens, solucionar problemas de autenticación durante el desarrollo o entender la estructura del token al integrarte con nuevas APIs. Es ideal para analizar tokens durante sesiones de depuración, aprender sobre la estructura JWT o verificar claims del token sin escribir código. Para aplicaciones en producción, usa bibliotecas JWT específicas de tu lenguaje de programación (como jsonwebtoken para Node.js, PyJWT para Python o java-jwt para Java) que proporcionan validación segura de tokens, verificación de firmas y extracción de claims. Las soluciones programáticas permiten el procesamiento automatizado de tokens, la integración con middleware de autenticación y la validación segura de tokens con una gestión adecuada de claves. Usa herramientas del navegador para desarrollo y depuración, pero implementa el manejo de JWT basado en código para aplicaciones que necesitan validación segura de tokens, renovación automática de tokens o integración con proveedores de identidad y sistemas de autorización.