¿Por qué no se verifica la firma?

La verificación requiere la clave pública del emisor (para algoritmos asimétricos como RS256/ES256) o el secreto simétrico (HS256). Ambos pertenecen a tu backend, no a una herramienta del navegador. Cualquier persona que ejecute JavaScript en tu máquina tendría que manejar ese secreto, que es exactamente lo que un diseño JWT trata de evitar.

¿Puedo decodificar cualquier JWT sin el secreto?

Sí — la cabecera y el payload están codificados en Base64url, no cifrados. Cualquiera que tenga el token puede leer su contenido. Por eso nunca debes poner secretos (contraseñas, números de tarjeta sin procesar) dentro de un payload JWT.

¿Qué algoritmos soporta el decodificador?

Todos, para inspección. La herramienta lee el nombre del algoritmo de la cabecera pero no lo aplica. Valores comunes: HS256 (HMAC-SHA-256, simétrico), RS256 (RSA-SHA-256, asimétrico), ES256 (ECDSA-P256-SHA-256). El peligroso algoritmo 'none' — que significa 'este token no tiene firma' — siempre debe ser rechazado por tu código de verificación.

Decodificador JWT

Pega un JWT — ve cabecera, payload, algoritmo y expiración en una sola vista.

Buğra SözeriDesarrollador

Updated June 10, 2026 · Published June 10, 2026

Un JSON Web Token (JWT) transporta claims sobre un usuario autenticado en tres partes separadas por puntos: una cabecera codificada en Base64url, un payload codificado en Base64url y una firma (normalmente basada en SHA-256). El decodificador divide el token, analiza cada segmento como JSON, muestra el algoritmo y el tiempo hasta la expiración, y presenta la firma como referencia. No verifica la firma — eso requiere la clave del emisor y debe ocurrir en tu backend, no en una herramienta del navegador.

Toda la decodificación ocurre localmente. Convertitive nunca registra, almacena ni transmite el token que pegues.

JWT (header.payload.signature)

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

Algorithm

HS256

Expires

no exp claim

Signature is shown for reference but not verified. Verifying a JWT requires the issuer’s public or symmetric key — that step happens on your backend, not in a browser tool.

SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

How to use

Pega tu JWT
Tres segmentos Base64url unidos por puntos. El token codificado suele ser una línea larga — se toleran saltos de línea.
Inspecciona la cabecera y el payload
Cada segmento se muestra como JSON formateado. La tarjeta de algoritmo extrae 'alg' de la cabecera para referencia rápida.
Comprueba la expiración
Si el payload contiene 'exp' (marca de tiempo Unix en segundos), la herramienta calcula cuánto tiempo queda según la hora actual de tu máquina.

Frequently asked questions

¿Por qué no se verifica la firma?: La verificación requiere la clave pública del emisor (para algoritmos asimétricos como RS256/ES256) o el secreto simétrico (HS256). Ambos pertenecen a tu backend, no a una herramienta del navegador. Cualquier persona que ejecute JavaScript en tu máquina tendría que manejar ese secreto, que es exactamente lo que un diseño JWT trata de evitar.
¿Puedo decodificar cualquier JWT sin el secreto?: Sí — la cabecera y el payload están codificados en Base64url, no cifrados. Cualquiera que tenga el token puede leer su contenido. Por eso nunca debes poner secretos (contraseñas, números de tarjeta sin procesar) dentro de un payload JWT.
¿Qué algoritmos soporta el decodificador?: Todos, para inspección. La herramienta lee el nombre del algoritmo de la cabecera pero no lo aplica. Valores comunes: HS256 (HMAC-SHA-256, simétrico), RS256 (RSA-SHA-256, asimétrico), ES256 (ECDSA-P256-SHA-256). El peligroso algoritmo 'none' — que significa 'este token no tiene firma' — siempre debe ser rechazado por tu código de verificación.

Decodificador JWT

How to use

Pega tu JWT

Inspecciona la cabecera y el payload

Comprueba la expiración

Frequently asked questions

Herramientas relacionadas