JWT Decoder
Paste a JWT (JSON Web Token) and view its decoded header and payload as readable JSON. This tool only decodes the token's contents — it does not verify or validate its signature.
How it works
- Paste the full JWT into the input field (header.payload.signature format).
- The token is split into its three dot-separated segments.
- The header and payload are decoded from Base64URL and shown as formatted JSON.
- The signature is shown as-is, without decoding or verification, since validating it requires the issuer's secret key.
- If the token doesn't match the expected format, you'll see a clear error message.
Use cases
- Quickly inspect the claims (data) contained in an authentication token.
- Debug authentication issues in applications that use JWTs.
- Check a token's expiration date (exp) or issuer (iss) during development.
- Understand the structure of a JWT received from an API or third-party service.
Common mistakes
- Creer que decodificar el payload equivale a validar el token.Decodificar solo muestra el contenido; no confirma que la firma sea válida ni que el token no haya sido alterado. Para eso necesitás verificar la firma con la clave del emisor.
- Pegar un JWT de producción con datos sensibles en herramientas de terceros.El payload de un JWT no está cifrado, solo codificado, así que cualquiera con el token puede leerlo. Evitá compartir tokens reales con información sensible.
- Pegar solo una parte del token, por ejemplo sin la firma.Un JWT completo tiene tres segmentos separados por puntos (header.payload.signature). Si falta alguno, la herramienta muestra un error de formato.
Frequently asked questions
Alternatives
Librerías como jsonwebtoken (Node) o PyJWT (Python) permiten decodificar y, más importante, verificar la firma del token dentro de tu propio backend. Usá esta herramienta solo para inspección rápida durante el desarrollo, no para validar tokens en producción.