Dekoder JWT - Dekode JSON Web Token & Periksa Kedaluwarsa Online

Tempel JSON Web Token apa pun untuk langsung mendekode header dan payload-nya, melihat signature-nya, dan memeriksa apakah token telah kedaluwarsa. Berjalan secara lokal — token Anda tidak pernah keluar dari browser Anda.

JWT Terenkode

Decode and verify entirely in your browser — nothing is uploaded.

Berkas dihapus otomatis setelah diprosesDiproses dengan aman melalui HTTPS

Frequently Asked Questions

Tempel JWT terkode (string panjang eyJ…) ke dalam kotak input. Alat ini memisahkannya pada dua titik, mendekode header dan payload dengan Base64URL, dan menampilkan JSON masing-masing beserta segmen signature mentah — semuanya tanpa melakukan permintaan jaringan apa pun.

usage

Tidak. Dekoder hanya mengurai token — ia tidak memeriksa tanda tangan terhadap kunci rahasia atau publik, karena verifikasi memerlukan material kunci dari penerbit. Gunakan pustaka JWT di sisi server untuk verifikasi produksi; alat ini ditujukan untuk inspeksi dan debugging.

technical

Anda mendapatkan header (algoritma dan key id), klaim payload (sub, iss, aud, iat, exp, dan klaim khusus apa pun), serta tanda tangan mentah. Klaim stempel waktu standar diformat sebagai tanggal yang mudah dibaca manusia sehingga Anda bisa langsung mengenali token kedaluwarsa sekilas.

features

Jika payload berisi klaim standar "exp", alat ini membandingkannya dengan waktu saat ini dan menampilkan "Valid until" atau "Token expired at" dengan timestamp yang tepat. Token tanpa klaim exp dilaporkan tidak memiliki masa kedaluwarsa.

features

Siapa pun yang membaca payload sebuah JWT dapat menggunakannya hingga kedaluwarsa, jadi token produksi sebaiknya hanya digunakan di alat privat. Decoder ini berjalan sepenuhnya di browser Anda dan tidak pernah mengirimkan token, tetapi aturan yang lebih aman adalah mendekode token pengembangan berumur pendek bila memungkinkan.

privacy

Sebuah JWT memiliki tiga segmen berkode Base64URL yang dipisahkan oleh titik: header (algoritma penandatanganan), payload (klaim yang ingin diyakinkan oleh penerbit kepada pemverifikasi), dan signature (MAC atau tanda tangan digital atas header.payload). Pendekodean tidak pernah memerlukan kunci — hanya verifikasi yang memerlukannya.

technical

Token ringkas yang aman untuk URL, terdiri dari tiga segmen Base64URL — header, payload, dan signature — yang membawa klaim bertanda tangan seperti ID pengguna dan waktu kedaluwarsa. Banyak digunakan untuk sesi login stateless dan mengamankan permintaan API. Tempel satu di atas untuk memeriksa header dan payload-nya.

technical

Di bawah header dan payload yang telah didekode, tempel signing secret (untuk HS256) atau kunci publik penerbit dalam format PEM atau JWK (untuk RS256, ES256, dan sejenisnya) ke kotak Verify signature, lalu klik Verify. Badge yang muncul melaporkan apakah tanda tangan valid, tidak valid, atau memakai algoritma yang tak didukung verifier di sisi browser — semuanya dihitung secara lokal, tanpa mengirim token atau kunci ke mana pun.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Debug Alur OAuth & OpenID Connect

Dekode access token dan ID token yang dikembalikan oleh Auth0, Okta, Cognito, dan Azure AD untuk memverifikasi scope, audience, dan issuer selama pekerjaan integrasi OAuth lokal

For Developers

Periksa Header Otorisasi dalam Panggilan API

Tempel bearer token dari permintaan API yang gagal untuk memastikan apakah penyebabnya adalah tenant, peran, atau masa berlaku yang salah sebelum membuka tiket dengan tim backend

For Developers

Periksa Kedaluwarsa Token Selama Pengembangan

Temukan token kedaluwarsa yang diam-diam merusak lingkungan staging Anda dengan membaca klaim exp — tanpa perlu menyalin token ke terminal atau menulis skrip cepat

For Business

Audit Izin yang Tersimpan dalam Klaim Token

Verifikasi klaim khusus seperti peran, tenant, dan flag fitur sehingga admin dapat memastikan token pelanggan memberikan akses persis seperti yang dimaksudkan oleh tim lisensi

For Business

Validasi Integrasi Single Sign-On

Periksa token SAML dan OIDC yang dihasilkan oleh integrasi SSO perusahaan untuk memastikan keanggotaan grup dan pemetaan atribut sebelum diterapkan ke seluruh karyawan

Education

Ajarkan Autentikasi Berbasis Token

Gunakan panel header, payload, dan signature yang telah didekode untuk menjelaskan bagaimana JWT disusun kepada peserta bootcamp, insinyur junior, dan peserta lokakarya keamanan

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.