Inspectores

Depurador JWT

Decodifica tokens, ve sus claims, detecta sesiones expiradas.

Instalar para Chrome →Todas las funciones

Tools → Inspect → JWT debugger · Prueba gratuita de 7 días · Premium $9.99 / año

Try it now·runs locally · nothing uploaded

JWT (header.payload.signature)

Decoded

✓ Currently valid

Header

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

{
  "sub": "1234567890",
  "name": "Alice",
  "iat": 1516239022,
  "exp": 1999999999,
  "roles": [
    "admin"
  ]
}

Annotated claims

sub (Subject) = 1234567890
name (Name) = Alice
iat (Issued at) = 1516239022 · 2018-01-18T01:30:22.000Z (8 years ago)
exp (Expiration) = 1999999999 · 2033-05-18T03:33:19.000Z (in 7 years)
roles = ["admin"]

Signature is intentionally not verified — that needs a key you haven’t shared. The extension’s JWT signer handles HMAC signing if you have the secret.

Want this and 50 more tools at one keyboard shortcut, with collections and persistence?Install free trial →

★ Premium

Built for the things AI can’t fake

This tool runs free, right here. The extension adds three things a web widget can’t:

Start 7-day trial→

★ Flagship

Playground

↗

JS / TS scratchpad — sandboxed and instrumented.

Paste real code, hit Run. Console + network monitor + watch expressions all in one panel.

·Real ES modules · top-level await
·URL imports — esm.sh & friends
·Live fetch monitor (every call)
·Watch expressions in your scope
·10s sandbox timeout · zero CORS pain

HTTP client

↗

Postman-style request runner.

Save collections, share variables, hit any API. Includes GraphQL with introspection, OpenAPI / cURL import.

·Bearer / Basic / API-key auth
·GraphQL · introspection
·OpenAPI 3.x · cURL import
·Copy as fetch / axios / Python

Realtime (WS + SSE)

↗

Stream-protocol tester — what Postman doesn’t do well.

WebSocket + Server-Sent Events with custom auth headers, auto-reconnect, JSON pretty-print.

·wss:// + ws:// + subprotocols
·SSE via fetch — Authorization works
·Auto-reconnect with backoff
·Send composer · ⌘ + Enter

Qué hace

Un JWT es un token firmado y codificado en base64 que las APIs usan para verificar quién eres: tres partes separadas por puntos (header.payload.signature). El header dice cómo se firmó, el payload contiene los "claims" (ID de usuario, expiración, roles), y la firma evita que se falsifiquen tokens.

El depurador JWT decodifica header + payload para que puedas leer los claims. Los claims estándar como exp (expiración) e iat (emitido) reciben fechas legibles; los tokens expirados se marcan en rojo.

Por qué usar el depurador jwt de VibeGear

✓Anota los claims estándar con explicaciones
✓La expiración aparece en UTC y como tiempo relativo ("dentro de 2 horas")
✓Columna del algoritmo con nombre descriptivo
✓Local — tu token nunca sale del navegador

Cómo usarlo

1Tools → Inspect → JWT debugger.
2Pega tu JWT.
3Header, payload y claims anotados aparecen al instante.

Preguntas frecuentes

¿Verifica la firma?

No — y lo decimos claramente. Verificar requiere el secreto o la clave pública, que no nos has dado. Mostrar un "verificado" falso desde el cliente sería engañoso. Usa el firmador JWT si tienes el secreto y quieres firmar tokens nuevos.

★ Premium

Una instalación. Todas las herramientas.

7 días gratis, luego VibeGear Premium $9.99 / €9.99 al año. Todo se ejecuta localmente.

Instalar y empezar prueba →→

Idioma

English Español