Decodificador JWT
Decodifica y analiza tokens JWT al instante. Visualiza el encabezado, la carga útil y la firma de tus JSON Web Tokens de manera clara y rápida.
Pega cualquier JSON Web Token a continuación para decodificarlo. Tu token se procesa solo en la sesión actual: no lo registramos ni lo almacenamos.
Usa esta herramienta desde tu agente IA
API JSON y servidor Model Context Protocol (MCP) gratuitos. Sin registro, sin clave de API, CORS abierto. Pensado para Claude, ChatGPT, Cursor, scripts y aplicaciones frontend.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Añade a claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) o cualquier otro cliente compatible con MCP:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Cómo usar
- Pega tu token JWT en el campo de entrada de arriba.
- Haz clic en Decodificar para ver el encabezado, la carga útil y la firma.
- Para verificar la firma, proporciona el secreto (HS256/384/512) o la clave pública (RS256/384/512).
- Comprueba el estado de expiración para ver si el token sigue activo.
Características principales
- Decodifica el encabezado y la carga útil de un JWT con un clic
- Verifica firmas HS256, HS384, HS512 con un secreto
- Verifica firmas RS256, RS384, RS512 con una clave pública
- Muestra las marcas de tiempo de expiración, no antes de y emitido en, en formato legible
- El token nunca se registra ni se almacena en nuestros servidores
Casos de uso comunes
- Depurar flujos de autenticación en tu aplicación
- Inspeccionar tokens devueltos por un proveedor OAuth u OpenID Connect
- Comprobar cuándo expira un token de acceso
- Verificar que un token fue firmado por el emisor esperado
Preguntas frecuentes
Un JWT es una forma compacta y segura para URL de representar reclamos entre dos partes. Se compone de tres partes — encabezado, carga útil y firma — separadas por puntos. Los JWT se utilizan ampliamente en autenticación y autorización (OAuth 2.0, OpenID Connect, inicio de sesión único).
Sí — el token se envía a nuestro servidor solo para que PHP lo decodifique y (opcionalmente) verifique la firma. El token nunca se registra, nunca se almacena y nunca se escribe en disco. Solo existe en memoria durante la duración de la solicitud.
Verificamos HS256, HS384, HS512 (HMAC con SHA-2) cuando proporcionas el secreto compartido, y RS256, RS384, RS512 (RSA con SHA-2) cuando proporcionas la clave pública del emisor en formato PEM. Otros algoritmos (ES256, EdDSA, etc.) se decodifican pero no se verifican.
El reclamo exp (expiración) es una marca de tiempo Unix después de la cual el token ya no debe aceptarse. Un JWT expirado debe ser rechazado por el servidor incluso si la firma es válida. Usa un token de actualización para obtener un nuevo token de acceso.
No. Decodificar un JWT solo lee su contenido — no demuestra que el token sea genuino. Siempre debes verificar la firma con el secreto o la clave pública del emisor antes de confiar en cualquier reclamo dentro de él.
