Gratis Decodificador JWT (decodificación local + HMAC opcional)

Pega un JWS compacto estándar (tres segmentos Base64URL). El header y el payload se decodifican como JSON. La verificación opcional solo admite HS256, HS384 y HS512 con Web Crypto; tu secreto no sale de esta pestaña. RS256, ES256, EdDSA y alg none se muestran para inspección, pero no se verifican por completo aquí.

JWT (formato compacto)

Algoritmo: HS256 · Tipo: JWT

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Claims de tiempo registrados

Emitido en (iat): 2018-01-18T01:30:22.000Z (1516239022)

Verificación HMAC opcional

La verificación usa los bytes UTF-8 del secreto y el algoritmo declarado en el header. Borra el secreto al terminar en equipos compartidos.

Secreto compartido (UTF-8)

Introduce un secreto para tokens HS256 y pulsa verificar.

Loading…

How to use this tool

1
Abrir Decodificador JWT
Comprueba primero si sirve para tu tarea: Decode de header y claims JWT, exp / nbf / iat en UTC, verificacion HS256 / HS384 / HS512 opcional, sin subir nada.
2
Añade el contenido
Introduce o sube los datos que pide el panel y ajusta las opciones visibles.
3
Usa el resultado
Revisa la vista previa y copia o descarga el resultado cuando esté listo.

Datos rápidos

¿Funciona sin conexión?	Sí — tras cargar la página, la decodificación y el HMAC solo usan tu navegador.
¿Se sube algo?	No. Safe Local Tools es estático; tokens y secretos no salen de esta pestaña.
¿RS256 o JWKS?	Los algoritmos asimétricos requieren claves públicas o JWKS — no implementado aquí. Solo decodifica claims.
¿JWE cifrado?	Solo JWS compacto firmado con tres segmentos — no JWE.

Top use cases

Decode de header y claims JWT, exp / nbf / iat en UTC, verificacion HS256 / HS384 / HS512 opcional, sin subir nada.
¿Funciona sin conexión?: Sí — tras cargar la página, la decodificación y el HMAC solo usan tu navegador.
¿Se sube algo?: No. Safe Local Tools es estático; tokens y secretos no salen de esta pestaña.
¿RS256 o JWKS?: Los algoritmos asimétricos requieren claves públicas o JWKS — no implementado aquí. Solo decodifica claims.
¿JWE cifrado?: Solo JWS compacto firmado con tres segmentos — no JWE.

FAQ

¿Puedo confiar en el payload decodificado?▾

Cualquiera puede decodificar Base64 de un JWT. La verificación de firma prueba integridad con el algoritmo y la clave correctos — cuando esta página puede hacerlo (familia HS256 más un secreto que proporcionas).

¿Por qué dice no soportado?▾

Muchas APIs emiten RS256 verificado con la clave pública del emisor. Importar JWKS y todas las curvas queda fuera de este decodificador ligero — usa tu framework o herramientas dedicadas.

¿Se guardan los secretos?▾

No hay llamadas al servidor. Los secretos viven en la memoria de la página hasta recargar o salir.

¿Valida exp contra el reloj?▾

Mostramos marcas de tiempo solo como información. Tu API debe seguir aplicando exp y nbf al autorizar.

¿Por qué mi pegado es inválido?▾

Algunas herramientas añaden prefijo Bearer o comillas. Recorta exactamente a header.payload.signature con puntos ASCII. Conserva mayúsculas/minúsculas en Base64URL.

¿Y JWT anidados?▾

Si un claim contiene otra cadena JWT, decodifícala en un segundo paso — aquí se espera un JWS compacto en el nivel exterior.