Decodificador JWT: header, payload y firma

Pega un JWT y verás al instante el header y el payload decodificados, con los tiempos exp/iat en formato legible. El token se analiza en tu navegador, no se envía nada al servidor.

🔓 Pega un token

🧠 Cómo se compone un JWT

Un JWT (JSON Web Token) son tres partes separadas por puntos: header.payload.signature. Las dos primeras son JSON normal codificado en base64url (así que cualquiera que tenga el token puede leerlas). La tercera es la firma: no cifra los datos, permite al servidor verificar que el token no fue alterado.

eyJhbG… . eyJzdW… . SflKxw… Header alg, typ base64url JSON Payload sub, exp, iat… base64url JSON Firma HMAC / RSA protección contra alteración

Cualquiera puede decodificar un JWT: no es cifrado. Nunca guardes contraseñas ni secretos en el payload. La autenticidad solo la da la verificación de la firma en el servidor con la clave secreta.