Inspecciona tus tokens
Un JWT tiene tres partes: cabecera, payload y firma. Aquí decodificamos las dos primeras para que veas qué datos transporta el token, con total privacidad (en tu navegador).
Decodificador de JWT
Pega un token JWT y mira su contenido al instante.
Decodificador de JWT
Cabecera
Payload
Las secciones van coloreadas y los campos de fecha (iat, exp, nbf…) muestran la fecha al pasar el ratón. No verifica la firma ni descifra: un JWT no está cifrado, solo codificado en Base64. Se ejecuta en tu navegador.
Preguntas frecuentes
¿Un JWT está cifrado?
No. La cabecera y el payload solo están codificados en Base64URL, así que cualquiera puede leerlos. La firma garantiza la integridad, pero no oculta el contenido: no metas datos sensibles en un JWT.
¿Esta herramienta verifica la firma?
No. Solo decodifica para que veas su contenido. Verificar la firma requiere la clave secreta, que nunca deberías pegar en una web.
¿Se envía mi token a algún servidor?
No. Todo se decodifica en tu navegador; el token no sale de tu dispositivo.