Un JSON Web Token está dividido por puntos en tres partes: header, payload y signature. Decodificar no requiere la clave secreta: simplemente revierte el base64url de los dos primeros segmentos para mostrar el JSON legible. El header indica el algoritmo de firma (HS256, RS256), y el payload contiene todos los claims: ID de usuario, roles, expiración (exp), y datos personalizados de la aplicación. Nuestro decodificador los revela de inmediato para que depures flujos de autenticación sin escribir código.