Saltar al contenido
Logo de CrateX.app

CrateX.app

Decodificador JWT

Decodifica localmente JWT estándar de tres partes, inspecciona el JSON formateado de Header y Payload, copia la Signature sin procesar y revisa exp/nbf/iat sin verificación.

Texto de entrada

Caracteres

0 / 16,000

Nota: esta herramienta solo decodifica y muestra el token. No verifica la firma; los claims decodificados pueden falsificarse hasta que un backend confiable los valide.
Decodificador JWT

Inicio rápido

1
Pega el JWT completo con tres partes separadas por puntos.
2
Lee JSON de Header y Payload; Signature se muestra sin procesar ni verificar.
3
Revisa exp/nbf/iat con hora local y UTC.
4
Copia la parte necesaria; borra tokens sensibles al terminar.

Escenarios comunes

Depuración de API

inspeccionar rápido el contenido del token y comparar claims

Expiración

inspeccionar exp y nbf para ver si el token caducó o aún no está activo

Aprender JWT

Entender la estructura Header/Payload y codificación Base64URL

Comparación de entornos

Comparar tokens entre dev/test/prod

Consejos de uso

El payload decodificado es legible, pero no confiable. Los sistemas de producción deben verificar la firma y validar iss, aud, sub, scope y reglas de revocación en el backend.
Evita pegar tokens con datos sensibles en dispositivos públicos
Los campos de tiempo son timestamps Unix (segundos); la herramienta los convierte a hora local y UTC

Contrato de decodificación

La entrada debe ser un JWT compacto de tres partes con formato header.payload.signature. Los tokens JWE de cinco partes y los formatos personalizados quedan fuera de este decodificador.
Header y Payload se decodifican como UTF-8 con Base64URL y luego se analizan como JSON. Si alguna parte no es Base64URL o JSON válido, la entrada original permanece y el resultado muestra el error correspondiente.
El panel Signature muestra solo el tercer segmento sin procesar. Aquí no se realiza verificación con secret, clave pública, JWK, JWKS ni Web Crypto.

Límite de seguridad

La decodificación JWT se ejecuta localmente en el navegador. La entrada del token puede permanecer como borrador del navegador. Si se activa un espacio de trabajo guardado o la sincronización WebDAV, la entrada del token puede guardarse mediante esa sincronización. Los datos mostrados de Header, Payload y Signature, las tarjetas de tiempo de claims, los errores de análisis, el estado de copia y el historial de deshacer se derivan del token actual y no se guardan como datos de resultado separados. Esta herramienta no verifica firmas, no obtiene JWKS ni URLs, no sube tokens, no crea adjuntos y no crea descargas de archivos decodificados. En un dispositivo compartido, borra el token y los datos del sitio al terminar.
Si el token contiene información confidencial, utilice un dispositivo privado y borre la entrada después de la inspección.
Decodificar solo hace legibles los claims. No prueba que el token haya sido emitido por tu servidor, aceptado por una API o sea confiable.
alg, kid, iss, aud, sub, scope, roles y jti se muestran como campos JSON simples. Valídalos con tu backend, metadatos del issuer, claves, reglas de audience y política de revocación.
El estado temporal usa exp y nbf con tu reloj local. El clock skew del servidor, los períodos de gracia, la revocación de sesión y el estado del refresh token pueden cambiar el resultado real.
Aquí no se admite: verificación de firma, entrada de secret o clave pública, búsqueda JWK/JWKS, OIDC discovery, OAuth introspection, descifrado JWE, análisis de JWT anidado, generación de tokens y validación del lado del servidor.

Limitaciones y compatibilidad

Solo decodificación Base64URL — sin verificación de firma
Solo JWT estándar de 3 partes soportado; JWE o formatos personalizados no soportados
JWT anidados (JWT dentro del payload) no se procesan
El estado del tiempo no es una verificación de validez completa. Un token puede no estar caducado y aun así ser rechazado por el servidor.
Esta página ofrece solo acciones de copia. No descarga, exporta, guarda ni comparte archivos de tokens decodificados.

Privacidad y seguridad

La decodificación JWT se ejecuta localmente en el navegador. La entrada del token puede permanecer como borrador del navegador. Si se activa un espacio de trabajo guardado o la sincronización WebDAV, la entrada del token puede guardarse mediante esa sincronización. Los datos mostrados de Header, Payload y Signature, las tarjetas de tiempo de claims, los errores de análisis, el estado de copia y el historial de deshacer se derivan del token actual y no se guardan como datos de resultado separados. Esta herramienta no verifica firmas, no obtiene JWKS ni URLs, no sube tokens, no crea adjuntos y no crea descargas de archivos decodificados. En un dispositivo compartido, borra el token y los datos del sitio al terminar.
Si el token contiene información confidencial, utilice un dispositivo privado y borre la entrada después de la inspección.

Preguntas frecuentes

6

Continúa con estas herramientas relacionadas para el siguiente paso.

Acerca de

Acerca de nosotros
Precios

Legal

Términos de uso
Política de privacidad
Política de cookies

Preferencias

Gestionar cookies

Todo el procesamiento de las herramientas ocurre localmente en tu navegador.