Men-debug login OAuth / OpenID Connect yang gagal — paste access atau ID token, lihat apa yang sebenarnya diterbitkan IdP. Mengkonfirmasi expiry token: tool ini mendecode exp sebagai tanggal asli dan menandainya jika sudah lewat. Sanity-check custom claim yang di-assert backend (role, permission, tenant ID). Membaca token yang "ditolak sebagai invalid" oleh library kamu untuk melihat apakah masalahnya struktural, expiry, atau signature.

iss — issuer (siapa yang membuat token) sub — subject (user/account yang diwakili) aud — audience (siapa yang seharusnya menerima) exp — expiry (Unix timestamp) iat — issued-at (Unix timestamp) nbf — not-valid-before (Unix timestamp)

JWT yang di-decode BUKAN JWT yang sudah diverifikasi. Signature tidak dicek di sini — itu butuh public key issuer (RSA/EC) atau shared secret (HMAC). Konten yang sudah di-decode hanya memberitahu kamu apa yang token katakan , bukan apakah kamu harus mempercayainya. Selalu verifikasi di server sebelum menghormati claim. Jangan paste token production di mana pun. Siapa pun yang punya JWT yang masih hidup bisa menyamar sebagai user sampai exp . Browser tidak mengirimnya keluar dari tool ini, tapi extension, screen-recording, dan dev tools bisa. Pakai token baru dari environment test jika kamu harus berbagi. Token alg: none adalah kelas serangan yang dikenal. Kalau sebuah header punya alg: none dan library kamu menerimanya, attacker bisa memalsukan token. Tolak ini di server. Time skew itu penting. exp sebuah token dicek terhadap jam verifier. Server yang drift akan menolak token yang di sini terlihat valid.

JWT Decoder

Tempel JWT, decode header dan payload. Semua decoding terjadi di browser-mu — token tidak pernah meninggalkan halaman.

JWT

Header

Masukkan input di atas untuk melihat hasilnya.

Payload

Masukkan input di atas untuk melihat hasilnya.

Signature (base64url, not verified)

Masukkan input di atas untuk melihat hasilnya.

This tool decodes only — it does not verify the signature against a key. Treat decoded payload as untrusted until verified.

Dibuat oleh JXXR1 · ♥ Jadi sponsor · ☕ Belikan saya kopi

Untuk apa ini?

Sebuah JWT (JSON Web Token) terdiri dari tiga bagian ter-encode base64url yang disambung dengan titik: header.payload.signature. Header dan payload adalah JSON object yang bisa kamu inspect; signature membuktikan token tidak diutak-atik setelah diterbitkan. Tool ini mendecode dua bagian pertama sehingga kamu bisa lihat isinya tanpa kebisingan base64 — berguna saat men-debug auth flow, session yang kadaluarsa, atau "token ini untuk user yang mana sebenarnya?".

Kapan digunakan

Men-debug login OAuth / OpenID Connect yang gagal — paste access atau ID token, lihat apa yang sebenarnya diterbitkan IdP.
Mengkonfirmasi expiry token: tool ini mendecode exp sebagai tanggal asli dan menandainya jika sudah lewat.
Sanity-check custom claim yang di-assert backend (role, permission, tenant ID).
Membaca token yang "ditolak sebagai invalid" oleh library kamu untuk melihat apakah masalahnya struktural, expiry, atau signature.

Claim umum

iss — issuer (siapa yang membuat token)
sub — subject (user/account yang diwakili)
aud — audience (siapa yang seharusnya menerima)
exp — expiry (Unix timestamp)
iat — issued-at (Unix timestamp)
nbf — not-valid-before (Unix timestamp)

Kesalahan umum

JWT yang di-decode BUKAN JWT yang sudah diverifikasi. Signature tidak dicek di sini — itu butuh public key issuer (RSA/EC) atau shared secret (HMAC). Konten yang sudah di-decode hanya memberitahu kamu apa yang token katakan, bukan apakah kamu harus mempercayainya. Selalu verifikasi di server sebelum menghormati claim.
Jangan paste token production di mana pun. Siapa pun yang punya JWT yang masih hidup bisa menyamar sebagai user sampai exp. Browser tidak mengirimnya keluar dari tool ini, tapi extension, screen-recording, dan dev tools bisa. Pakai token baru dari environment test jika kamu harus berbagi.
Token alg: none adalah kelas serangan yang dikenal. Kalau sebuah header punya alg: none dan library kamu menerimanya, attacker bisa memalsukan token. Tolak ini di server.
Time skew itu penting. exp sebuah token dicek terhadap jam verifier. Server yang drift akan menolak token yang di sini terlihat valid.