¿Qué hay dentro de este JWT? ¿Cómo lo decodifico?
Pega un token JWT y la herramienta muestra header, payload y signature. Todo se ejecuta en tu navegador, el token no sale de tu dispositivo.
Esto importa porque el conocido jwt.io envía los tokens por la red. Pegar allí un token de producción = una invitación al desastre. Aquí todo es local.
Ideal para depurar autorización: access tokens, refresh tokens, ID tokens de Auth0, Cognito, Firebase, Keycloak.
Cómo usarlo
- Copia tu token JWT (empieza por "eyJ..." y tiene 3 secciones separadas por puntos).
- Pégalo en el campo de texto: se parsea automáticamente (sin pulsar nada).
- A la derecha ves el header (algoritmo + tipo), a la izquierda el payload (claims: sub, iss, exp, claims personalizados) y la signature debajo.
- Las pastillas superiores muestran: algoritmo (HS256/RS256/...), tipo (JWT/JWE), fecha de emisión (iat) y expiración (exp). Token caducado = la pastilla exp se pone roja.
Cuándo es útil
Siete situaciones típicas en las que un decodificador de JWT ayuda a entender qué hay dentro del token:
- Depuración de autorización. Recibes un token del backend y quieres ver los claims (rol, organización, scopes).
- Auth0 / Cognito / Firebase / Keycloak. Decodificar el ID token revela todos los atributos del usuario.
- Comprobar expiración. ¿Sigue siendo válido el refresh token? La pastilla exp responde.
- Code review. Un compañero pegó un token en el chat y quieres ver qué contiene antes de reportar un incidente.
- Formación. Ver cómo funciona JWT por dentro a quien está aprendiendo autorización.
- OAuth 2.0 / OpenID Connect. Parsear access tokens Bearer.
- Auditoría. ¿exp demasiado larga? ¿Scopes incorrectos? ¿Firma SHA-1?
Preguntas y respuestas
No. Verificar HS256 requiere la clave secreta y RS256 la clave pública. El decodificador solo muestra la estructura. Para verificar o firmar tokens en el navegador, usa nuestro firmador / verificador JWT. Si necesitas un par de claves RSA / EC para firmar, genéralo con el generador de pares de claves JWT.