JWT Debugger decodeert en inspecteert JSON Web Tokens — parseert header, payload, en handtekening, geeft claims weer, en markeert vervalstatus. Perfect voor het opsporen van verificatieproblemen, het inspecteren van OAuth/OIDC-tokens, en het controleren van JWT-inhoud zonder een aparte decoder uit te voeren of jwt.io te treffen.
JWT (JSON Web Token) is het dominante formaat voor verificatietokens in moderne API's — OAuth, OIDC, sessietokens, en aangepaste API-verificatie. Maar een JWT ziet er onzin uit: drie Base64URL-gecodeerde tekenreeksen verbonden door punten. JWT Debugger parseert die tekenreeks in zijn drie delen — header (algoritme metadata), payload (de vorderingen), en handtekening — decodeert elk, en geeft de JSON-inhoud weer met syntaxisbighting. De payload wordt geparseerd voor bekende vorderingen: iss (uitgever), sub (onderwerp), exp (vervaldatum), iat (afgegeven op), nbf (niet voor), aud (publiek), jti (token-ID). Vervaldatum wordt geconverteerd van Unix-timestamp naar menselijk leesbare vorm en gemarkeerd als geldig, verlopen, of nog niet geldig. Het gereedschap verifieert de handtekening NIET — handtekeningverificatie vereist de geheime sleutel en valt buiten de reikwijdte van een tool aan clientzijde — maar het toont u precies wat een token bevat zodat u snel verificatieproblemen kunt opsporen.
Splitst de JWT op punten en Base64URL-decodeert elk segment: header, payload, en handtekening. Elk wordt apart weergegeven met syntaxisbighting.
Geeft het algoritme (HS256, RS256, ES256) en tokentype weer. Controleer snel welk ondertekeningsschema een service gebruikt.
Parseert de JSON-payload en geeft deze weer met kleurgecodeerde sleutels, tekenreeksen, getallen, en Booleaanse waarden. Alle vorderingen zijn in één oogopslag zichtbaar.
Controleert de exp (vervaldatum), iat (afgegeven op), en nbf (niet voor) timestamps. Markeert of het token geldig, verlopen, of nog niet actief is — met menselijk leesbare tijden.
Herkent geregistreerde vorderingen (iss, sub, aud, exp, iat, nbf, jti) en biedt snelreferentie-aantekeningen voor hun betekenis.
Het onbewerkte token wordt weergegeven met elk segment in een duidelijke kleur zodat u visueel header, payload, en handtekening kunt onderscheiden.
Wanneer een API 401 Unauthorized retourneert, plakt u het token om te controleren of het verlopen, misvormd, of door de verkeerde uitgever is afgegeven.
Decodeer toegangstokens en ID-tokens geretourneerd van OAuth/OIDC-stromen om verleende bereiken, gebruikersidentiteit, en vervaldatum te zien.
Bevestig dat vereiste vorderingen (rollen, machtigingen, tenant-ID) aanwezig zijn in het token voordat u aanneemt dat de backend dit accepteert.
Wanneer een token wordt gegenereerd door een backendservice, decodeert u het om te controleren of de payload overeenkomt met wat de service bedoeld heeft af te geven.
Decodeer tokens die zijn opgeslagen in localStorage of cookies tijdens een beveiligingsbeoordeling om te beoordelen welke gevoelige gegevens aan clientzijde worden blootgesteld.
Klik op het JWT-pictogram in het dock van DevSuite Pro. Een paneel opent met een token-invoerveld en drie gedecodeerde vensters.
Plak elke JWT — uit een API-antwoord, Autorisatie-header, cookie, of localStorage. Voeg het voorvoegsel "Bearer " in of laat het weg; beide werken.
Het Header-venster toont het algoritme en type. Bevestig dat het het schema gebruikt dat uw backend verwacht (vaak HS256 of RS256).
Het Payload-venster toont alle vorderingen met syntaxisbighting. Standaardvorderingen (iss, sub, exp) zijn gemarkeerd met hun doel.
Het statusbadge toont Geldig, Verlopen, of Nog niet geldig. Indien verlopen, is het token waarschijnlijk waarom uw verificatie mislukt.
Installeer DevSuite Pro gratis en ontgrendel 64+ ontwikkelaarstools voor uw browser.
