Decodificador JWT
Pega un token y lee al instante su header y su payload, con el algoritmo, la fecha de emisión (iat) y el estado de expiración (exp). Todo en tu navegador.
La firma nunca se verifica aquí. Un JWT decodificado no es un JWT de confianza: verifica siempre la firma en el servidor con tu secreto o clave pública antes de fiarte de cualquier claim.
Se ejecuta en tu navegador. Lo que introduces no se sube a PayloadIQ.
Este decodificador JWT separa un token en sus partes y decodifica el header y el payload directamente en tu navegador, sin subir nada a ningún servidor. Un JWT son tres segmentos en Base64URL unidos por puntos: el header, el payload con los claims y la firma. La herramienta te muestra el algoritmo (alg), los claims y marcas de tiempo legibles como iat y exp, sin tocar la firma.
Cómo funciona
El token se divide por los puntos en sus tres segmentos. La herramienta toma los dos primeros, los decodifica desde Base64URL y los muestra como JSON con el formato aplicado. Del header puedes leer el algoritmo (por ejemplo HS256 o RS256) y el tipo; del payload, todos los claims, incluidos los registrados como sub, iss, aud, iat y exp. Las marcas de tiempo Unix se convierten a una fecha legible para que veas de un vistazo cuándo se emitió el token y si ya caducó. Todo el procesamiento ocurre en tu navegador con JavaScript, así que funciona sin conexión una vez cargada la página.
Decodificar no es verificar
Conviene tenerlo claro: leer un JWT no es lo mismo que validarlo. Cualquiera puede decodificar el payload, porque solo está codificado en Base64URL, no cifrado, así que no pongas secretos dentro de un token. El estado de exp que ves aquí es solo informativo y la firma no se comprueba en el navegador. Antes de confiar en los claims de un token en producción, verifica siempre la firma en el servidor con tu secreto o tu clave pública. Como todo ocurre en local y nada se sube, puedes pegar tokens sin que tus datos salgan de tu equipo.