Depurador JWT
Redactor
Resumen
Advertencias
Ficha decodificada
¿Qué es un depurador JWT?
Un depurador JWT le ayuda a inspeccionar los tokens web JSON decodificando el encabezado y la carga útil, verificando las reclamaciones y validando la firma cuando hay un secreto o una clave disponible.
Es útil para la depuración de autenticación, pruebas de API, comprobaciones de caducidad y edición rápida de datos de carga útil durante el desarrollo.
Cómo utilizar el depurador JWT
- Pegue un token JWT en el campo del token.
- Opcionalmente, ingrese el secreto o la clave y elija el algoritmo.
- Haga clic en Analizar para inspeccionar las reclamaciones y los resultados de la validación.
- Edite el encabezado o la carga útil JSON y genere un nuevo token si es necesario.
Consejos
- Los datos de carga útil de JWT solo están codificados, no cifrados.
- Verifique siempre las reclamaciones de vencimiento y no anteriores al depurar problemas de autenticación.
- Utilice el mismo algoritmo y secreto que su backend al validar firmas.
- No pegue secretos de producción a menos que confíe plenamente en el medio ambiente.
Guías relacionadas
Aprenda el workflow detrás de esta herramienta y qué revisar después.
Cómo inspeccionar problemas de autenticación JWT
Flujo JWT para revisar claims, time values, permisos y signing assumptions sin tratar decode como verification.
Cómo validar un dominio antes del lanzamiento
Flujo de lanzamiento para confirmar DNS records, señales de propiedad, cobertura SSL y security headers en el endpoint público.
Comprobaciones de JWT antes de confiar en token claims
Decodificar un JWT hace legibles los claims, pero signature validation, expiration, issuer, audience y key choice determinan si es confiable.
Valida la signature
Comprueba el algorithm, secret o public key y el signing method esperado antes de aceptar valores de header y payload.
Revisa time claims
Inspecciona exp, nbf e iat con timezone y clock skew correctos para no aceptar tokens expirados o aún no válidos.
Confirma issuer y audience
Compara iss, aud, sub, tenant y scope values con la aplicación que consumirá el token.
Evita pegar secrets
Usa tokens no productivos o local test keys al depurar, especialmente para screenshots, logs o tickets de soporte.
Privacidad y uso
Comprobaciones rápidas sin cuenta
Toolinix está pensado para tareas cortas de desarrollo: pegue una muestra segura, revise el resultado, copie lo necesario y continúe.
Sin inicio de sesión
Puede usar las herramientas sin crear una cuenta, suscribirse a un boletín ni guardar un espacio de trabajo.
Local cuando es posible
Los formateadores, generadores, codificadores y utilidades de texto suelen ejecutarse en el navegador. Los diagnósticos de red pueden necesitar una consulta asistida por servidor para comprobar URLs, dominios o IPs públicos.
No pegue secretos
No pegue contraseñas de producción, claves privadas, tokens de acceso, datos de clientes ni datos regulados en herramientas online salvo que su propia política de seguridad lo permita.
Herramientas relacionadas
Estas herramientas también pueden resultarle útiles.