Decodificador de JWT
Pega un JSON Web Token para ver qué hay realmente dentro — la cabecera y el payload, decodificados y formateados para leerlos.
Qué te dice decodificar un JWT, y qué no
La cabecera y el payload de un JWT son simplemente JSON codificado en Base64URL — cualquiera puede decodificarlos y leerlos, sin necesidad de ningún secreto, que es exactamente lo que hace esta herramienta. Lo que no puede hacer es verificar la firma: eso necesita la clave secreta o pública del emisor, que deliberadamente no es algo que debas pegar en una web cualquiera.
¿Esto verifica que el token sea válido o no haya caducado?
No — solo decodifica las partes legibles. Verificar la firma y comprobar la caducidad («exp») ocurre en el servidor que emitió el token, usando un secreto que esta herramienta nunca ve.
¿Se supone que un JWT debe ser legible así?
Sí — la cabecera y el payload solo están codificados, no cifrados. Nunca pongas secretos o datos sensibles directamente en el payload de un JWT; para eso está la firma (demostrar que no se ha manipulado), no para ocultar su contenido.
¿Se envía mi token a algún sitio?
No — la decodificación se ejecuta íntegramente en tu navegador con JavaScript puro. No se sube nada.
