Cómo inspeccionar problemas de autenticación JWT
Flujo JWT para revisar claims, time values, permisos y signing assumptions sin tratar decode como verification.
Los problemas JWT suelen verse como respuestas 401 o 403 genéricas. El token puede estar expired, emitido para wrong audience, sin scope o firmado con algorithm inesperado.
Decoding ayuda a inspeccionar claims, pero no prueba que el token sea válido. Verification pertenece al sistema con la key o secret correctos.
Revise claims de tiempo
Inspeccione exp, iat y nbf y convierta timestamps a tiempo legible.
Considere timezone assumptions y clock skew entre clients, servers, CI systems e identity providers.
Verifique issuer, audience y scopes
Revise iss, aud, sub, tenant, client_id, roles, scopes y permissions contra el servicio que rechaza el request.
Un token puede estar bien formado y vigente, pero no autorizado para el endpoint.
Use tokens generados con cuidado
Los JWT generados sirven para tests locales y documentación, pero producción debe usar tokens del auth service.
Use test secrets y sample claims sin datos reales.
Checklist de JWT auth debugging
- Decode el token e inspeccione header, payload y algorithm.
- Convierta exp, iat y nbf timestamps.
- Revise issuer, audience, subject, scopes y roles.
- No trate decoded content como verified identity.
- Use solo test secrets y sample claims para generated tokens.
Guías relacionadas
Aprenda el workflow detrás de esta herramienta y qué revisar después.
Cómo depurar payloads JSON de API
Un workflow práctico para formatear JSON, encontrar errores de sintaxis, validar la forma del payload y revisar el status cuando los datos de API no cuadran.
Cómo depurar respuestas JSON de una API
Formatee la respuesta, confirme el estado HTTP, valide el schema y compare cambios del payload antes de modificar código.