Decodificador JWT
Pega un token JWT para decodificarlo e inspeccionar instantáneamente su encabezado, carga útil y firma, todo ello directamente en tu navegador.
¿Por qué usar el decodificador JWT de PixConvert?
Inspección de tokens sin riesgo. Tus tokens nunca salen de tu dispositivo.
Decodificación instantánea
El encabezado y el contenido se decodifican automáticamente al pegarlos. No se necesita ningún botón.
Riesgo de red cero
La decodificación de JWT es un análisis de URL base64 puro del lado del cliente. Los tokens nunca salen de su navegador.
Detección de caducidad
Detecta automáticamente las reclamaciones exp, iat y nbf y muestra marcas de tiempo legibles para humanos con el estado de caducidad/activo.
Visualización del algoritmo
Muestra el algoritmo de firma (RS256, HS256, ES384, etc.) del encabezado.
JSON formateado
La carga útil se muestra como JSON con formato legible para facilitar su lectura y copia.
Reclamaciones de derechos de autor
Copie el JSON completo con un solo clic para pegarlo en los archivos de prueba o en las sesiones de depuración.
Cuando necesites un decodificador JWT
Depurar los flujos de autenticación es más rápido cuando se puede ver el contenido del token al instante.
Depuración de API
Inspeccione los tokens Bearer de los encabezados de autorización para comprender qué reclamaciones recibe su API.
- Decodificar tokens de acceso
- Verificar roles y permisos de usuario
- Verificar las fechas de caducidad
Desarrollo de OAuth y OIDC
Decodificar tokens de ID y tokens de acceso durante la integración de OAuth 2.0 y OpenID Connect.
- Inspeccione las reclamaciones de id_token.
- Verificar los campos de correo electrónico y subtítulo
- Verifique la caducidad del token y el nbf.
Auditoría de seguridad
Revisar el algoritmo y las declaraciones de JWT como parte de una evaluación de seguridad; esto se realiza del lado del cliente, por lo que no hay exposición del token.
- Detectar algoritmos débiles (ninguno, HS256)
- Verificar el alcance de la reclamación
- Inspeccionar la vida útil del token
Cómo decodificar un token JWT
Pega tu token JWT en el campo de entrada. El decodificador lo divide por puntos y decodifica cada parte en base64url.
El encabezado y la carga útil aparecen en formato JSON. Las reclamaciones estándar (exp, iat, sub) se resaltan con etiquetas legibles para el usuario.
Inspeccione el segmento de firma y detecte los tokens caducados de un vistazo: todo el proceso de decodificación se ejecuta localmente, nunca en nuestros servidores.
Explora más herramientas
Descubre otras herramientas gratuitas que funcionan de maravilla junto con esta.
Codificador Base64
Codificar y decodificar cadenas Base64
Formateador JSON
Formatee, valide y minimice JSON al instante.
Generador de hash
Generar hashes MD5, SHA-1 y SHA-256
Codificador de URL
Codificar y decodificar componentes URL
Generador de contraseñas
Genera contraseñas seguras y aleatorias.
Generador de UUID
Generar UUID y ULID v4
Preguntas frecuentes
Explicación de la decodificación de JWT.
¿Es seguro pegar un token JWT aquí?
Las secciones de encabezado y carga útil de un JWT están codificadas en base64url, no cifradas; cualquiera que tenga el token puede leerlas. Decodificarlas aquí equivale a decodificarlas en tu propio código. La clave secreta utilizada para la verificación de la firma nunca se decodifica ni se necesita. Sin embargo, trata los JWT como contraseñas: no pegues tokens de producción en herramientas no confiables.
¿Esto verifica la firma JWT?
No. La verificación de la firma requiere la clave secreta (HMAC) o la clave pública (RSA/ECDSA), que nunca debe compartir con una herramienta de terceros. Este decodificador solo lee el encabezado y la carga útil (los dos primeros segmentos), que son públicos por diseño.
¿Cuál es la reclamación de exp?
La declaración de expiración (exp) es una marca de tiempo Unix (segundos desde la época) que indica cuándo el token deja de ser válido. Esta herramienta la convierte a una fecha legible y muestra si el token está activo o ha caducado.
¿Cuál es la diferencia entre access_token e id_token?
En OAuth 2.0/OIDC: access_token autoriza las llamadas a la API y es opaco o JWT. id_token siempre es un JWT y contiene información de identidad (sub, email, name). Ambos se pueden decodificar aquí.
¿Por qué la firma parece estar formada por caracteres aleatorios?
La firma es un hash criptográfico del encabezado y la carga útil, firmado con la clave secreta o privada del emisor. Se trata de datos binarios codificados en base64url; no están diseñados para ser legibles por humanos. Su propósito es la verificación, no la inspección.