JWT Debugger mendekode dan memeriksa JSON Web Token — mengurai header, payload, dan tanda tangan, menampilkan klaim (claims), serta menandai status kedaluwarsa. Sangat cocok untuk mendebug masalah autentikasi, memeriksa token OAuth/OIDC, dan memverifikasi konten JWT tanpa perlu menjalankan decoder terpisah atau membuka jwt.io.
JWT (JSON Web Token) adalah format dominan untuk token autentikasi di berbagai API modern — OAuth, OIDC, token sesi, dan autentikasi API kustom. Namun, JWT terlihat seperti teks acak: tiga string terenkode Base64URL yang dipisahkan oleh titik. JWT Debugger mengurai string tersebut menjadi tiga bagian — header (metadata algoritma), payload (klaim), dan tanda tangan — mendekode masing-masing bagian, dan menampilkan konten JSON dengan penyorotan sintaksis. Payload diurai untuk klaim yang umum dikenal: iss (issuer), sub (subject), exp (expiry), iat (issued at), nbf (not before), aud (audience), jti (token ID). Waktu kedaluwarsa dikonversi dari timestamp Unix ke format yang mudah dibaca dan ditandai sebagai valid, kedaluwarsa, atau belum valid. Alat ini TIDAK memverifikasi tanda tangan — verifikasi tanda tangan memerlukan kunci rahasia dan berada di luar cakupan alat sisi klien — tetapi alat ini menunjukkan dengan tepat apa isi token Anda sehingga Anda dapat mendebug masalah autentikasi dengan cepat.
Memecah JWT berdasarkan titik dan mendekode setiap segmen dengan Base64URL: header, payload, dan tanda tangan. Masing-masing ditampilkan secara terpisah dengan penyorotan sintaksis.
Menampilkan algoritma (HS256, RS256, ES256) dan tipe token. Verifikasi dengan cepat skema penandatanganan apa yang digunakan oleh suatu layanan.
Mengurai payload JSON dan merendernya dengan kode warna untuk kunci, string, angka, dan boolean. Semua klaim terlihat jelas dalam sekejap.
Memeriksa timestamp exp (expiry), iat (issued at), dan nbf (not before). Menandai apakah token valid, kedaluwarsa, atau belum aktif — lengkap dengan waktu yang mudah dibaca.
Mengenali klaim terdaftar (iss, sub, aud, exp, iat, nbf, jti) dan menyediakan anotasi referensi cepat untuk artinya.
Token mentah ditampilkan dengan setiap segmen dalam warna yang berbeda sehingga Anda dapat membedakan header, payload, dan tanda tangan secara visual.
Ketika API mengembalikan 401 Unauthorized, tempelkan token untuk memeriksa apakah sudah kedaluwarsa, salah format, atau diterbitkan oleh issuer yang salah.
Dekode access token dan ID token yang dikembalikan dari alur OAuth/OIDC untuk melihat scope yang diberikan, identitas pengguna, dan waktu kedaluwarsa.
Pastikan klaim yang diperlukan (peran/roles, izin, ID tenant) ada di dalam token sebelum berasumsi bahwa backend akan menerimanya.
Ketika token dihasilkan oleh layanan backend, dekode token tersebut untuk memverifikasi bahwa payload sudah sesuai dengan tujuan penerbitan layanan tersebut.
Selama peninjauan keamanan, dekode token yang disimpan di localStorage atau cookie untuk menilai data sensitif apa yang terpapar di sisi klien.
Klik ikon JWT di dok DevSuite Pro. Panel akan terbuka dengan bidang input token dan tiga panel hasil dekode.
Tempelkan JWT apa pun — dari respons API, header Authorization, cookie, atau localStorage. Anda bisa menyertakan atau mengabaikan awalan "Bearer "; keduanya berfungsi.
Panel Header menunjukkan algoritma dan tipe. Pastikan algoritma tersebut sesuai dengan skema yang diharapkan oleh backend Anda (seringkali HS256 atau RS256).
Panel Payload menunjukkan semua klaim dengan penyorotan sintaksis. Klaim standar (iss, sub, exp) ditandai sesuai fungsinya.
Lencana status menunjukkan Valid, Expired (Kedaluwarsa), atau Not Yet Valid (Belum Valid). Jika kedaluwarsa, kemungkinan besar itulah penyebab kegagalan autentikasi Anda.
Instal DevSuite Pro secara gratis dan buka 64+ alat pengembang untuk browser Anda.
