Decodificador JWT online — decodifica gratis header y payload
Decodifica un JSON Web Token en tu navegador para inspeccionar su header y payload. La firma NO se valida — solo depuración.
Pega un JWT abajo. Header y payload se decodifican localmente desde Base64URL; el token no sale de la página.
Casos de uso comunes
- 1Inspeccionar un token de acceso OAuth para revisar expiración, audience y scopes.
- 2Depurar un fallo de SSO de terceros leyendo los claims que el IdP firmó.
- 3Verificar que tu app emite la forma de JWT esperada antes de tests de integración.
Preguntas frecuentes
¿Por qué no se verifica la firma?+
La verificación necesita la clave pública del emisor (RS256/ES256) o el secreto compartido (HS256). Es decisión de infraestructura — usa jose/jsonwebtoken con la clave adecuada. Esta herramienta solo decodifica.
¿Es seguro pegar mi token aquí?+
La decodificación corre 100% en tu navegador; el token no sale de la página. Pero un token de acceso ACTIVO sigue llevando tu identidad — si está en uso, redacta los claims sensibles tras depurar.
¿Por qué mi token decodifica a basura?+
Probablemente no sea un JWT. Los JWTs reales siempre tienen tres partes Base64URL separadas por puntos (header.payload.signature). Los tokens opacos (cadenas aleatorias) no decodifican a JSON.