AkousaInspector JWT
Decodifica e inspecciona cabeceras, payloads y firmas de JSON Web Token.
Acerca del Inspector de JWT
El Inspector de JWT decodifica JSON Web Tokens (RFC 7519) mediante la decodificación Base64url de los segmentos de encabezado, payload y firma, presentándolos en una vista estructurada y codificada por colores con todos los nombres de claims estándar etiquetados — incluyendo iss (emisor), sub (sujeto), aud (audiencia), exp (expiración), iat (emitido en), nbf (no antes de) y jti (ID de JWT). Detecta automáticamente el algoritmo de firma del encabezado alg, muestra el estado de expiración con una cuenta regresiva legible para humanos y señala condiciones sensibles a la seguridad como el vector de ataque alg: none. Toda la decodificación ocurre en su navegador — el token nunca sale de su dispositivo.
Cómo Usar
Pegue un token JWT — los tres segmentos codificados en Base64url separados por puntos — en el campo de entrada. La sección del encabezado muestra el algoritmo, el ID de clave y el tipo de token. La sección del payload enumera todos los claims con sus valores decodificados y marcas de tiempo legibles para humanos para exp, iat y nbf. La sección de la firma muestra los bytes de la firma Base64url en bruto y el algoritmo utilizado. El indicador de vencimiento muestra si el token es actualmente válido, ha expirado o aún no es válido, basándose en los claims exp y nbf en relación con la hora UTC actual.
Casos de Uso Comunes
- Desarrolladores de backend depurando fallos de autenticación decodificando tokens de acceso JWT de los encabezados de Authorization para verificar que los claims exp, iss, aud y los claims de rol personalizados contengan los valores esperados para la solicitud fallida.
- Ingenieros de seguridad auditando implementaciones de OAuth 2.0 y OpenID Connect inspeccionando los payloads de id_token y access_token para verificar el emisor correcto, la restricción de audiencia y el algoritmo de firma.
- Desarrolladores frontend examinando tokens de proveedores de identidad de Auth0, Cognito, Firebase Auth o Azure AD B2C para entender qué claims están disponibles en el token para la lógica de control de acceso.
- Penetración testers analizando JWTs del tráfico HTTP capturado para identificar algoritmos de firma débiles, claims de audiencia faltantes, ventanas de expiración largas o datos sensibles en claims de payload no cifrados.
- Ingenieros de DevOps y equipos de plataforma verificando rápidamente el tiempo de expiración y el emisor de tokens de cuenta de servicio, JWTs de cuenta de servicio de Kubernetes o tokens de API gateway durante el diagnóstico de incidentes sin escribir un script de decodificación.