Decodificador JWT para revisar claims y vencimiento

Inspecciona tokens Bearer más rápido decodificando el encabezado y la carga útil, destacando exp e iat y centrándote en los claims que suelen romper la autenticación.

Esta guía sirve para depurar fallos reales de autenticación. Decodifica el token, lee los claims y sé preciso sobre lo que la herramienta puede y no puede demostrar.

Decodificar un JWT Volver al centro Auth/API

Úsalo cuando

Una API rechaza un token Bearer y necesitas inspeccionar el encabezado, los claims o las marcas de tiempo antes de volver a intentarlo.

Qué revisar primero

Comprueba primero alg, exp, aud, scope y sub porque suelen explicar por qué un token que parece válido sigue fallando.

Error habitual

Decodificar muestra lo que dice el token. No demuestra que la firma sea válida ni confiable.

Flujos de ejemplo

Pega solo el token en bruto

Si copiaste un encabezado Authorization, quita el prefijo Bearer antes de pegarlo en el decodificador.

Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...

Detectar un token vencido

Céntrate primero en exp cuando el fallo de autenticación parezca intermitente o específico de un entorno.

{"sub":"user-123","exp":1712732400}

Inspeccionar claims personalizados

aud, scope y sub suelen explicar desajustes de autorización incluso cuando la forma del token parece correcta.

{"aud":"api://comutil","scope":"read:users write:users","sub":"user-123"}

Revisar la estructura de segmentos

Los JWT tienen tres segmentos Base64URL, por lo que una puntuación o un padding malformados pueden romper un token copiado.

header.payload.signature

Qué revisar antes de culpar a la API

Revisa exp e iat para detectar desfases de reloj, aud para incompatibilidades de audiencia y scope para permisos faltantes. Esas comprobaciones suelen ser más rápidas que reproducir otra vez la solicitud.

Usa la herramienta de marca de tiempo Unix cuando exp o iat sean difíciles de leer rápidamente.

Decodificar no verifica la firma

Esta página lee la estructura del token y el contenido de los claims. No verifica la firma, no valida cadenas de confianza ni confirma que el token haya sido emitido por el firmante esperado.

Sé preciso en las notas del incidente: el contenido decodificado es una evidencia útil, pero no equivale a verificación.

Rutas de depuración relacionadas

Herramienta para codificar/decodificar Base64

Inspecciona segmentos Base64URL sin procesar o cargas de credenciales antes de volver a la depuración a nivel de claims.

Guía de Base64 para Basic Auth

Los JWT usan segmentos Base64URL y muchas pilas de autenticación todavía mezclan depuración Basic y Bearer.

Guía de respuestas JSON de API

Pasa a inspeccionar la carga útil una vez que el token parezca saludable.

Marca de Tiempo Unix

Traduce exp e iat rápidamente cuando los valores de los claims sean difíciles de interpretar mentalmente.

Guía de codificación URL

Sigue el flujo de autenticación hacia la depuración de parámetros de redirección y callback.