JWT decoder
Inspecciona un token antes de perseguir el bug equivocado de autenticación. Decodifica header, claims, algoritmo, firma y estado de expiración.
Token codificado
Salida decodificada
Qué es JWT
JSON Web Token es un formato compacto para transportar claims entre sistemas. En depuración diaria, las preguntas útiles suelen ser simples: quién emitió el token, para quién es, qué permisos declara, qué algoritmo lo firmó y si ya expiró.
Header
Muestra metadatos del token como typ, alg y a veces kid, que apunta a la clave usada por el emisor.
Payload
Contiene claims como sub, iss, aud, exp, iat, roles, tenant IDs o datos de autorización de la aplicación.
Firma
Protege el token contra manipulación cuando el servidor lo verifica con el secreto o la clave pública esperada.
Expiración
El claim exp suele ser la pista más rápida en depuración de autenticación. Un token bien formado no sirve si ya está fuera de su ventana de validez.
Preguntas sobre JWT
¿Los JWT están cifrados?
Normalmente no. Los JWT estándar están codificados, no cifrados, así que cualquiera con el token puede leer header y payload. La firma protege integridad.
¿Decodificar un JWT verifica que sea confiable?
No. Decodificar solo revela contenido. Confiar requiere verificar firma con el secreto o clave pública correcta, además de issuer, audience, expiración y reglas de la app.
¿Qué pasa cuando un token expira?
Si el claim exp está en el pasado, el servidor debería rechazar el token y el cliente debe autenticarse de nuevo o pedir un access token nuevo por el flujo correcto.
¿Debo pegar tokens de producción en un decoder?
Trata tokens reales como credenciales. Usa tokens de prueba de corta vida cuando sea posible y evita pegar access tokens sensibles en herramientas que no controlas.