Como inspecionar problemas de autenticação JWT
Fluxo JWT para revisar claims, time values, permissões e signing assumptions sem tratar decode como verification.
Problemas JWT costumam aparecer como respostas 401 ou 403 genéricas. O token pode estar expired, emitido para wrong audience, sem scope ou assinado com algorithm inesperado.
Decoding ajuda a inspecionar claims, mas não prova que o token é válido. Verification pertence ao sistema com a key ou secret corretos.
Revise claims de tempo
Inspecione exp, iat e nbf e converta timestamps para tempo legível.
Considere timezone assumptions e clock skew entre clients, servers, CI systems e identity providers.
Verifique issuer, audience e scopes
Revise iss, aud, sub, tenant, client_id, roles, scopes e permissions contra o serviço que rejeita o request.
Um token pode estar bem formado e vigente, mas ainda não autorizado para o endpoint.
Use tokens gerados com cuidado
JWTs gerados são úteis para testes locais e documentação, mas produção deve usar tokens do auth service.
Use test secrets e sample claims sem dados reais.
Checklist de JWT auth debugging
- Decode o token e inspecione header, payload e algorithm.
- Converta exp, iat e nbf timestamps.
- Revise issuer, audience, subject, scopes e roles.
- Não trate decoded content como verified identity.
- Use apenas test secrets e sample claims para generated tokens.
Guias relacionados
Entenda o workflow por trás desta ferramenta e o que revisar depois.
Como depurar payloads JSON de API
Um workflow prático para formatar JSON, encontrar erros de sintaxe, validar o formato do payload e revisar o status quando dados de API parecem errados.
Como depurar respostas JSON de API
Formate a resposta, confirme o status HTTP, valide o schema e compare mudanças do payload antes de alterar código.