Dekoder JWT - Dekode JSON Web Token & Periksa Kedaluwarsa Online
Tempel JSON Web Token apa pun untuk langsung mendekode header dan payload-nya, melihat signature-nya, dan memeriksa apakah token telah kedaluwarsa. Berjalan secara lokal — token Anda tidak pernah keluar dari browser Anda.
Decode and verify entirely in your browser — nothing is uploaded.
Selesai dengan Decoder JWT? Coba ini berikutnya
Alat pilihan yang cocok dipadukan dengan Decoder JWT. Lanjutkan tanpa kehilangan file Anda.
Encoder / Decoder Base64
Enkode teks atau berkas apa pun ke Base64 (dengan varian URL-safe), atau dekode Base64 kembali menjadi teks. Aman UTF-8.
Coba sekarangPembuat Hash
Hitung digest heksa SHA-1, SHA-256, SHA-384, dan SHA-512 dari teks atau file apa pun menggunakan Web Crypto API browser.
Coba sekarangPercantik JSON
Format, validasi, dan minifikasi JSON di browser Anda. Indentasi rapi 2 / 4 / 8 spasi atau minifikasi satu baris dengan salin + unduh.
Coba sekarangEncoder / Decoder URL
Lakukan percent-encoding pada komponen URL atau seluruh URL, lalu dekode kembali. Mode encodeURIComponent dan encodeURI.
Coba sekarangPembuat Kata Sandi
Hasilkan kata sandi kuat yang acak secara kriptografis hingga 128 karakter dengan estimasi entropi langsung.
Coba sekarangDiff Checker
Bandingkan dua cuplikan teks baris demi baris. Tampilan terpisah atau tergabung, dengan opsi mengabaikan spasi dan mengabaikan huruf besar/kecil.
Coba sekarangFrequently Asked Questions
Tempel JWT terkode (string panjang eyJ…) ke dalam kotak input. Alat ini memisahkannya pada dua titik, mendekode header dan payload dengan Base64URL, dan menampilkan JSON masing-masing beserta segmen signature mentah — semuanya tanpa melakukan permintaan jaringan apa pun.
usageTidak. Dekoder hanya mengurai token — ia tidak memeriksa tanda tangan terhadap kunci rahasia atau publik, karena verifikasi memerlukan material kunci dari penerbit. Gunakan pustaka JWT di sisi server untuk verifikasi produksi; alat ini ditujukan untuk inspeksi dan debugging.
technicalAnda mendapatkan header (algoritma dan key id), klaim payload (sub, iss, aud, iat, exp, dan klaim khusus apa pun), serta tanda tangan mentah. Klaim stempel waktu standar diformat sebagai tanggal yang mudah dibaca manusia sehingga Anda bisa langsung mengenali token kedaluwarsa sekilas.
featuresJika payload berisi klaim standar "exp", alat ini membandingkannya dengan waktu saat ini dan menampilkan "Valid until" atau "Token expired at" dengan timestamp yang tepat. Token tanpa klaim exp dilaporkan tidak memiliki masa kedaluwarsa.
featuresSiapa pun yang membaca payload sebuah JWT dapat menggunakannya hingga kedaluwarsa, jadi token produksi sebaiknya hanya digunakan di alat privat. Decoder ini berjalan sepenuhnya di browser Anda dan tidak pernah mengirimkan token, tetapi aturan yang lebih aman adalah mendekode token pengembangan berumur pendek bila memungkinkan.
privacySebuah JWT memiliki tiga segmen berkode Base64URL yang dipisahkan oleh titik: header (algoritma penandatanganan), payload (klaim yang ingin diyakinkan oleh penerbit kepada pemverifikasi), dan signature (MAC atau tanda tangan digital atas header.payload). Pendekodean tidak pernah memerlukan kunci — hanya verifikasi yang memerlukannya.
technicalToken ringkas yang aman untuk URL, terdiri dari tiga segmen Base64URL — header, payload, dan signature — yang membawa klaim bertanda tangan seperti ID pengguna dan waktu kedaluwarsa. Banyak digunakan untuk sesi login stateless dan mengamankan permintaan API. Tempel satu di atas untuk memeriksa header dan payload-nya.
technicalDi bawah header dan payload yang telah didekode, tempel signing secret (untuk HS256) atau kunci publik penerbit dalam format PEM atau JWK (untuk RS256, ES256, dan sejenisnya) ke kotak Verify signature, lalu klik Verify. Badge yang muncul melaporkan apakah tanda tangan valid, tidak valid, atau memakai algoritma yang tak didukung verifier di sisi browser — semuanya dihitung secara lokal, tanpa mengirim token atau kunci ke mana pun.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
Debug Alur OAuth & OpenID Connect
Dekode access token dan ID token yang dikembalikan oleh Auth0, Okta, Cognito, dan Azure AD untuk memverifikasi scope, audience, dan issuer selama pekerjaan integrasi OAuth lokal
Periksa Header Otorisasi dalam Panggilan API
Tempel bearer token dari permintaan API yang gagal untuk memastikan apakah penyebabnya adalah tenant, peran, atau masa berlaku yang salah sebelum membuka tiket dengan tim backend
Periksa Kedaluwarsa Token Selama Pengembangan
Temukan token kedaluwarsa yang diam-diam merusak lingkungan staging Anda dengan membaca klaim exp — tanpa perlu menyalin token ke terminal atau menulis skrip cepat
Audit Izin yang Tersimpan dalam Klaim Token
Verifikasi klaim khusus seperti peran, tenant, dan flag fitur sehingga admin dapat memastikan token pelanggan memberikan akses persis seperti yang dimaksudkan oleh tim lisensi
Validasi Integrasi Single Sign-On
Periksa token SAML dan OIDC yang dihasilkan oleh integrasi SSO perusahaan untuk memastikan keanggotaan grup dan pemetaan atribut sebelum diterapkan ke seluruh karyawan
Ajarkan Autentikasi Berbasis Token
Gunakan panel header, payload, dan signature yang telah didekode untuk menjelaskan bagaimana JWT disusun kepada peserta bootcamp, insinyur junior, dan peserta lokakarya keamanan
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate