Debugger JWT dekoduje i analizuje tokeny JSON Web Token — parsuje nagłówek, ładunek (payload) oraz sygnaturę, wyświetla oświadczenia (claims) i flaguje status ważności. Idealny do debugowania problemów z uwierzytelnianiem, inspekcji tokenów OAuth/OIDC i weryfikacji zawartości JWT bez konieczności uruchamiania osobnego dekodera czy korzystania z jwt.io.
JWT (JSON Web Token) to dominujący format tokenów uwierzytelniających w nowoczesnych API — stosowany w OAuth, OIDC, tokenach sesyjnych i niestandardowych systemach auth. Surowy JWT wygląda jak ciąg przypadkowych znaków: trzy zakodowane w Base64URL segmenty połączone kropkami. Debugger JWT parsuje ten ciąg na trzy części — nagłówek (metadane algorytmu), ładunek (oświadczenia) oraz sygnaturę — dekoduje każdą z nich i wyświetla zawartość JSON z wyróżnianiem składni. Ładunek jest analizowany pod kątem znanych oświadczeń: iss (wydawca), sub (podmiot), exp (wygaśnięcie), iat (wydano o), nbf (nie wcześniej niż), aud (odbiorca), jti (ID tokena). Czas wygaśnięcia jest konwertowany ze znacznika Unix na format czytelny dla człowieka i oznaczany jako ważny, wygasły lub jeszcze nieważny. Narzędzie NIE weryfikuje sygnatury — weryfikacja wymaga klucza tajnego i wykracza poza zakres narzędzia klienczego — ale pokazuje dokładnie, co zawiera token, umożliwiając szybkie rozwiązanie problemów z autoryzacją.
Dzieli JWT na kropkach i dekoduje każdy segment Base64URL: nagłówek, ładunek i sygnaturę. Każdy z nich jest wyświetlany osobno z wyróżnianiem składni.
Wyświetla algorytm (HS256, RS256, ES256) i typ tokena. Szybko sprawdź, jakiego schematu podpisywania używa dana usługa.
Parsuje ładunek JSON i renderuje go z kolorowymi kluczami, ciągami znaków, liczbami i wartościami logicznymi. Wszystkie oświadczenia są widoczne na pierwszy rzut oka.
Sprawdza znaczniki czasu exp (wygaśnięcie), iat (wydano o) i nbf (nie wcześniej niż). Flaguje, czy token jest ważny, wygasły czy jeszcze nieaktywny — podając czasy w czytelnej formie.
Rozpoznaje zarejestrowane oświadczenia (iss, sub, aud, exp, iat, nbf, jti) i dostarcza krótkie objaśnienia ich znaczenia.
Surowy token jest wyświetlany z każdym segmentem w innym kolorze, co pozwala wizualnie odróżnić nagłówek, ładunek i sygnaturę.
Gdy API zwraca 401 Unauthorized, wklej token, aby sprawdzić, czy wygasł, jest źle sformułowany lub wydany przez niewłaściwego wydawcę.
Dekoduj tokeny dostępu (access) i identyfikacji (ID) z przepływów OAuth/OIDC, aby zobaczyć przyznane zakresy (scopes), tożsamość użytkownika i czas wygaśnięcia.
Upewnij się, że wymagane oświadczenia (role, uprawnienia, ID najemcy) są obecne w tokenie przed założeniem, że backend je zaakceptuje.
Gdy token jest generowany przez usługę backendową, zdekoduj go, aby zweryfikować, czy ładunek zgadza się z zamierzeniami usługi.
Podczas przeglądu bezpieczeństwa dekoduj tokeny przechowywane w localStorage lub ciasteczkach, aby ocenić, jakie wrażliwe dane są eksponowane po stronie klienta.
Kliknij ikonę JWT w panelu DevSuite Pro. Otworzy się panel z polem wejściowym dla tokena i trzema oknami zdekodowanych danych.
Wklej dowolny JWT — z odpowiedzi API, nagłówka Authorization, ciasteczka lub localStorage. Prefiks „Bearer ” jest opcjonalny; oba formaty działają.
Okno nagłówka (Header) pokazuje algorytm i typ. Potwierdź, czy używa schematu oczekiwanego przez Twój backend (często HS256 lub RS256).
Okno ładunku (Payload) pokazuje wszystkie oświadczenia z wyróżnioną składnią. Standardowe pola (iss, sub, exp) są oznaczone zgodnie z ich przeznaczeniem.
Plakietka statusu pokazuje: Ważny, Wygasły lub Jeszcze nieważny. Jeśli wygasł, to prawdopodobnie on jest przyczyną błędu autoryzacji.
Zainstaluj DevSuite Pro za darmo i odblokuj ponad 64 narzędzi programistycznych dla swojej przeglądarki.
