Playground

Usa este playground para probar los endpoints del Auth Server directamente desde el navegador.

POST /login

Autenticarse y obtener un JWT.

base

string

required

Identificador del cliente

password

string

required

Contraseña del cliente

Probar con cURL

curl -X POST https://auth.mipos.co.cr/login \
  -H "Content-Type: application/json" \
  -d '{"base":"TU_BASE","password":"TU_PASSWORD"}'

Mintlify Playground integrado: Si estás viendo esta documentación en Mintlify, usa el panel lateral derecho de las páginas POST /login y GET /jwks para ejecutar requests directamente. Solo llena los campos y presiona Send.

JWKS

GET /.well-known/jwks.json

Obtener la clave pública. No requiere autenticación.

Probar con cURL

curl -s https://auth.mipos.co.cr/.well-known/jwks.json | python3 -m json.tool

Decodificar un JWT

Una vez que tengas un token, puedes inspeccionar su contenido (sin verificar la firma):

Terminal
JavaScript (navegador)
PHP
Python

# Reemplaza TOKEN con tu JWT
echo "TOKEN" | cut -d. -f2 | base64 -d 2>/dev/null | python3 -m json.tool

function decodificarJWT(token) {
  const payload = token.split('.')[1];
  return JSON.parse(atob(payload.replace(/-/g, '+').replace(/_/g, '/')));
}

// Pegar tu token aquí
const decoded = decodificarJWT('eyJhbGciOi...');
console.table(decoded);

function decodificarJWT(string $token): array {
    $parts = explode('.', $token);
    return json_decode(base64_decode(strtr($parts[1], '-_', '+/')), true);
}

print_r(decodificarJWT('eyJhbGciOi...'));

import base64, json

def decodificar_jwt(token: str) -> dict:
    payload = token.split('.')[1]
    payload += '=' * (4 - len(payload) % 4)  # padding
    return json.loads(base64.urlsafe_b64decode(payload))

print(decodificar_jwt('eyJhbGciOi...'))

Resultado esperado

{
  "iss": "https://auth.mipos.co.cr",
  "aud": "https://auth.mipos.co.cr",
  "iat": 1700000000,
  "exp": 1700028800,
  "jti": "a1b2c3d4e5f6a1b2c3d4e5f6a1b2c3d4",
  "sub": "mi_empresa",
  "base": "mi_empresa"
}

Campo	Qué contiene
`iss`	URL del Auth Server que emitió el token
`aud`	Audiencia del token
`iat`	Cuándo se emitió (Unix timestamp)
`exp`	Cuándo expira (Unix timestamp)
`jti`	ID único del token — útil para revocación
`sub`	Identificador del cliente
`base`	Nombre del cliente en la BD (mismo que `sub`)

Flujo completo de prueba

Obtener token

Ir a POST /login → llenar base y password → Send

Copiar el token

De la respuesta, copiar el valor del campo token.

Decodificar

Usar cualquiera de los métodos anteriores para ver el payload del JWT.

Usar en tu API

Enviar el token como Authorization: Bearer <token> en requests a tus APIs.

No decodifiques tokens en herramientas online de terceros en producción. Aunque el payload no es secreto, evita exponer tokens activos en sitios como jwt.io. Usa los métodos locales de arriba.

​Login

POST /login

​JWKS

GET /.well-known/jwks.json

​Decodificar un JWT

​Resultado esperado

​Flujo completo de prueba

Login

JWKS

Decodificar un JWT

Resultado esperado

Flujo completo de prueba