Kit de herramientas para API: Depura más rápido, despliega antes

Son las 3 de la tarde y tu API devuelve un 401. El token parece válido. El endpoint es correcto. Los headers de la petición parecen estar bien.

Pegas el JWT en un decodificador y ves el problema al instante: el claim exp expiró hace 12 minutos. La lógica de renovación del token tiene un bug.

Esos cinco segundos de decodificación acaban de ahorrarte una hora mirando código.

La depuración de JWT es una tarea diaria

Si trabajas con cualquier API moderna, lidias con JWTs constantemente. Tokens de login, autenticación servicio-a-servicio, flujos OAuth — están en todas partes.

El problema es que un JWT parece un galimatías:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

¿Qué claims tiene? ¿Cuándo expira? ¿Qué algoritmo se usó para firmarlo? No puedes saberlo con solo mirarlo.

Pega el token, ve al instante el header, payload y expiración. Sin librerías que instalar. Sin código que escribir. Solo respuestas.

Códigos de estado HTTP: más allá del 200 y el 404

Rápido — ¿cuál es la diferencia entre 401 y 403? ¿Y 502 vs 503? ¿Cuándo deberías devolver un 409 en vez de un 422?

La mayoría de los desarrolladores conocen los comunes, pero las APIs devuelven docenas de códigos de estado diferentes. Cuando recibes un 429 inesperado o un 307 confuso, necesitas saber exactamente qué significa.

Una referencia de códigos de estado HTTP te dice qué significa cada código, cuándo usarlo y las causas comunes. Más rápido que Googlear, y no tienes que filtrar debates de Stack Overflow.

El formateo de JSON no es opcional

Las APIs envían JSON. Las APIs reciben JSON. Y la mayoría de las veces, ese JSON llega como una sola línea comprimida sin espacios.

{"users":[{"id":1,"name":"Alice","roles":["admin","editor"],"settings":{"theme":"dark","notifications":{"email":true,"push":false}}}]}

Intenta encontrar una coma faltante ahí. O verificar si un campo anidado existe. O comparar dos respuestas.

Pega el JSON comprimido, obtén formato con indentación adecuada. Ahora puedes leerlo de verdad, detectar errores y comparar estructuras.

Base64: el secreto de los headers de autenticación

La autenticación de APIs frecuentemente involucra codificación Base64. Los headers de Basic Auth son username:password codificados en Base64. Los datos binarios en payloads JSON se codifican en Base64. Contenido de certificados, firmas de webhooks, valores cifrados — todo Base64.

Cuando algo no funciona, necesitas decodificar lo que realmente se está enviando. O codificar un nuevo valor para probar.

Un codificador/decodificador Base64 maneja ambas direcciones al instante. Pega la cadena codificada, ve el valor original. Escribe un nuevo valor, obtén la versión codificada.

Escenario de depuración común: el header de Basic Auth falla. Lo decodificas y descubres un carácter de salto de línea al final de la contraseña. Habría tardado mucho más en encontrarlo en el código.

La codificación URL se pone complicada

Los parámetros de consulta con caracteres especiales necesitan codificación URL. Los espacios se convierten en %20 (o +). Los ampersands en %26. Las barras en %2F.

Esto importa cuando:

• Construyes endpoints de búsqueda con entrada del usuario
• Los parámetros contienen URLs en sí mismos (callback URLs, redirect URIs)
• Depuras por qué un parámetro no se está parseando correctamente
• Las claves API contienen caracteres especiales

Un codificador/decodificador URL te muestra exactamente cómo se ve la versión codificada/decodificada. Particularmente útil para depurar callback URLs de OAuth, que frecuentemente son URLs-dentro-de-URLs y se vuelven ilegibles cuando se codifican doblemente.

Flujo de depuración real

Así es como estas herramientas encajan en una sesión de depuración de API real:

1. La petición falla — verificar el significado del código de estado HTTP
2. ¿Problema de autenticación? — decodificar el JWT para revisar claims y expiración
3. ¿Problema de payload? — formatear el JSON para inspeccionar la estructura
4. ¿Problema de header? — decodificar el header de autenticación Base64
5. ¿Parseo de URL? — decodificar la URL para revisar la codificación de parámetros

Cada paso toma segundos. La alternativa — escribir scripts desechables, instalar herramientas CLI o buscar en documentación — toma minutos a horas.

Mantenlas abiertas

Tengo estas herramientas en pestañas fijadas. No porque no pueda hacer codificación Base64 en Python o formatear JSON en VS Code. Puedo. Pero cambiar de contexto al terminal, escribir un script rápido y ejecutarlo rompe el flujo de depuración.

Estas herramientas son velocidad de depuración. Pegar, ver resultado, entender problema, arreglar código. El ciclo de depuración más rápido posible.

---

El desarrollo de APIs es 50% escribir código y 50% averiguar por qué el código que escribiste no funciona como esperabas. Las herramientas de navegador adecuadas no reemplazan tu IDE o tu depurador — los complementan haciendo la parte de "averiguar" más rápida.