El Depurador JWT decodifica e inspecciona JSON Web Tokens — analizando el encabezado, la carga útil y la firma, mostrando las reclamaciones y marcando el estado de caducidad. Perfecto para depurar problemas de autenticación, inspeccionar tokens OAuth/OIDC y verificar el contenido JWT sin ejecutar un decodificador separado ni visitar jwt.io.
JWT (JSON Web Token) es el formato dominante para los tokens de autenticación en las APIs modernas — OAuth, OIDC, tokens de sesión y autenticación de API personalizada. Pero un JWT parece un galimatías: tres cadenas codificadas en Base64URL unidas por puntos. El Depurador JWT divide esa cadena en sus tres partes — encabezado (metadatos del algoritmo), carga útil (las reclamaciones) y firma — decodifica cada una y muestra el contenido JSON con resaltado de sintaxis. La carga útil se analiza para las reclamaciones conocidas: iss (emisor), sub (sujeto), exp (caducidad), iat (emitido en), nbf (no antes), aud (audiencia), jti (ID del token). La caducidad se convierte de marca de tiempo Unix a una forma legible por humanos y se marca como válida, caducada o aún no válida. La herramienta NO verifica la firma — la verificación de la firma requiere la clave secreta y está fuera del alcance de una herramienta del lado del cliente — pero te muestra exactamente lo que contiene un token para que puedas depurar los problemas de autenticación rápidamente.
Divide el JWT en los puntos y decodifica cada segmento en Base64URL: encabezado, carga útil y firma. Cada uno se muestra por separado con resaltado de sintaxis.
Muestra el algoritmo (HS256, RS256, ES256) y el tipo de token. Verifica rápidamente qué esquema de firma está usando un servicio.
Analiza la carga útil JSON y la representa con claves, cadenas, números y booleanos codificados por colores. Todas las reclamaciones son visibles de un vistazo.
Verifica las marcas de tiempo exp (caducidad), iat (emitido en) y nbf (no antes). Indica si el token es válido, ha caducado o aún no está activo — con tiempos legibles por humanos.
Reconoce las reclamaciones registradas (iss, sub, aud, exp, iat, nbf, jti) y proporciona anotaciones de referencia rápida para su significado.
El token sin procesar se muestra con cada segmento en un color distinto para que puedas distinguir visualmente el encabezado, la carga útil y la firma.
Cuando una API devuelve 401 No Autorizado, pega el token para verificar si ha caducado, está malformado o ha sido emitido por el emisor incorrecto.
Decodifica los tokens de acceso y los tokens de ID devueltos por los flujos OAuth/OIDC para ver los alcances otorgados, la identidad del usuario y la caducidad.
Confirma que las reclamaciones requeridas (roles, permisos, ID de inquilino) estén presentes en el token antes de asumir que el backend las aceptará.
Cuando un servicio backend genera un token, decodifícalo para verificar que la carga útil coincida con lo que el servicio pretendía emitir.
Durante una revisión de seguridad, decodifica los tokens almacenados en localStorage o cookies para evaluar qué datos sensibles se están exponiendo en el lado del cliente.
Haz clic en el ícono de JWT en el dock de DevSuite Pro. Se abre un panel con un campo de entrada de token y tres paneles decodificados.
Pega cualquier JWT — desde una respuesta de API, encabezado Authorization, cookie o localStorage. Incluye o descarta el prefijo "Bearer "; ambos funcionan.
El panel de encabezado muestra el algoritmo y el tipo. Confirma que está usando el esquema que espera tu backend (a menudo HS256 o RS256).
El panel de carga útil muestra todas las reclamaciones con resaltado de sintaxis. Las reclamaciones estándar (iss, sub, exp) están marcadas con su propósito.
La insignia de estado muestra Válido, Caducado o Aún No Válido. Si ha caducado, el token es probablemente la razón por la que falla tu autenticación.
Instala DevSuite Pro gratis y desbloquea más de 39 herramientas de desarrollador para tu navegador.
