Ang JWT Debugger ay nag-de-decode at nag-i-inspect ng mga JSON Web Token — pini-parse ang header, payload, at signature, ipinapakita ang mga claim, at minamarkahan ang expiration status. Perpekto para sa pag-debug ng mga authentication issue, pag-inspect ng mga OAuth/OIDC token, at pag-verify ng nilalaman ng JWT nang hindi gumagamit ng hiwalay na decoder o bumibisita sa jwt.io.
Ang JWT (JSON Web Token) ay ang dominanteng format para sa mga auth token sa mga modernong API — OAuth, OIDC, session tokens, at custom API auth. Ngunit ang isang JWT ay mukhang kalokohan: tatlong Base64URL-encoded na string na pinagdikit ng mga tuldok. Pini-parse ng JWT Debugger ang string na iyon sa tatlong bahagi nito — header (algorithm metadata), payload (ang mga claim), at signature — dini-decode ang bawat isa, at ipinapakita ang mga JSON content na may syntax highlighting. Ang payload ay pini-parse para sa mga kilalang claim: iss (issuer), sub (subject), exp (expiry), iat (issued at), nbf (not before), aud (audience), jti (token ID). Ang expiry ay kinoconvert mula sa Unix timestamp patungo sa human-readable na anyo at minamarkahan kung valid, expired, o hindi pa valid. HINDI bini-verify ng tool ang signature — ang signature verification ay nangangailangan ng secret key at labas na sa saklaw ng isang client-side tool — ngunit ipinapakita nito sa iyo nang eksakto kung ano ang nilalaman ng isang token para mabilis mong ma-debug ang mga auth issue.
Hinihiwalay ang JWT sa mga tuldok at dini-decode ang bawat segment gamit ang Base64URL: header, payload, at signature. Ang bawat isa ay ipinapakita nang hiwalay na may syntax highlighting.
Ipinapakita ang algorithm (HS256, RS256, ES256) at token type. Mabilis na i-verify kung anong signing scheme ang ginagamit ng isang service.
Pini-parse ang JSON payload at ini-render ito na may color-coded na mga key, string, numero, at boolean. Lahat ng claim ay makikita sa isang sulyap.
Sinusuri ang exp (expiry), iat (issued at), at nbf (not before) na mga timestamp. Minamarkahan kung ang token ay valid, expired, o hindi pa aktibo — na may mga human-readable na oras.
Kinikilala ang mga registered claim (iss, sub, aud, exp, iat, nbf, jti) at nagbibigay ng mga quick-reference annotation para sa kanilang kahulugan.
Ang raw token ay ipinapakita na may magkakaibang kulay ang bawat segment para biswal mong mapag-iba ang header, payload, at signature.
Kapag ang isang API ay nagbalik ng 401 Unauthorized, i-paste ang token para i-check kung ito ay expired, maling format, o inisyu ng maling issuer.
I-decode ang mga access token at ID token na ibinalik mula sa mga OAuth/OIDC flow para makita ang mga granted scope, user identity, at expiry.
Kumpirmahin na ang mga kinakailangang claim (roles, permissions, tenant ID) ay naroroon sa token bago ipalagay na tatanggapin ito ng backend.
Kapag ang isang token ay ginawa ng isang backend service, i-decode ito para i-verify na ang payload ay tumutugma sa kung ano ang nilalayong iisyu ng service.
Sa panahon ng isang security review, i-decode ang mga token na nakaimbak sa localStorage o mga cookie para ma-assess kung anong sensitibong data ang nalalantad sa client-side.
I-click ang icon ng JWT sa DevSuite Pro dock. Magbubukas ang isang panel na may token input field at tatlong decoded pane.
I-paste ang anumang JWT — mula sa isang API response, Authorization header, cookie, o localStorage. Isama o alisin ang "Bearer " prefix; parehong gagana.
Ipinapakita ng Header pane ang algorithm at type. Kumpirmahin na ginagamit nito ang scheme na inaasahan ng iyong backend (madalas na HS256 o RS256).
Ipinapakita ng Payload pane ang lahat ng claim na may syntax highlighting. Ang mga standard claim (iss, sub, exp) ay minamarkahan kasama ang kanilang layunin.
Ipinapakita ng status badge ang Valid, Expired, o Not Yet Valid. Kung expired, ang token ay malamang na ang dahilan kung bakit pumapalya ang iyong auth.
I-install ang DevSuite Pro nang libre at i-unlock ang 64+ developer tools para sa iyong browser.
