Si trabajas con APIs, tarde o temprano vas a depurar tokens. Aquí verás cómo decodificar un JWT, validar exp y comprobar la firma usando un secret.
Herramienta directa: Validador / Analizador de JWT.
1) Decodifica header y payload
Un JWT tiene 3 partes: header.payload.signature. El header/payload suelen estar en Base64URL.
Si quieres inspeccionarlo manualmente: Conversor Base64.
2) Valida expiración (exp)
El campo exp representa un timestamp. Si está por debajo del tiempo actual, el token está expirado.
3) Verifica la firma
Introduce el secret y comprueba si la firma coincide. Si no coincide: secret incorrecto, token manipulado o algoritmo distinto.
Genera secrets robustos aquí: Generador de Contraseñas Seguras.
Consejo: valida también el payload JSON
Cuando copies payloads/claims, valida la estructura: Validador JSON.