Dekode JSON Web Token

Dekoder JWT online gratis yang berjalan di peramban Anda. Tempel JSON Web Token dan alat membaginya menjadi tiga segmen base64url (header, payload, signature), mendekode masing-masing, dan merender JSON. Di atas keluaran, pil status menampilkan "bentuk benar", algoritma dari header, dan jendela validitas — hijau jika sedang valid, kuning jika sebelum nbf, merah jika setelah exp. Di bawah, klaim terdaftar (iss, sub, aud, exp, nbf, iat, jti) dicantumkan dengan makna RFC 7519; iat/exp/nbf juga diformat sebagai stempel waktu ISO.

Cara menggunakan

Tempel JWT Anda

Tiga segmen ber-encode base64url dipisahkan titik.

Baca header + payload

JSON yang didekode ditampilkan di kanan.

Periksa pil status

alg, jendela validitas, hitung mundur exp/nbf.

Periksa klaim terdaftar

Setiap klaim terkenal dijelaskan inline.

Periksa header JWT, payload, masa berlaku, dan klaim terdaftar — tanpa memverifikasi

Tempel JWT (tiga segmen base64url dipisahkan titik)

Header header

Payload payload

Perhatian: alat ini hanya MEN-DEKODE JWT — TIDAK memverifikasi tanda tangan. Siapa pun bisa membuat JWT dengan konten sembarang. Gunakan untuk memeriksa apa yang token KLAIM, bukan untuk mempercayainya. Verifikasi sebenarnya butuh rahasia sisi server atau JWKS dari penerbit.

Fitur

Parsing tiga segmen Pil validitas Petunjuk klaim terdaftar Stempel waktu yang dapat dibaca Ramah input buruk Jujur tentang lingkup

Penggunaan umum

Periksa token Authorization Bearer dari respons curl.
Debug 401 "exp expired" dari backend Anda.
Cari klaim audiens token yang diterbitkan penyedia identitas Anda.
Konfirmasi stempel waktu iat untuk menemukan kapan sesi dibuat.

Mengapa yang ini

Kebanyakan dekoder JWT browser menampilkan kolom verify yang berpura-pura memvalidasi tanda tangan — tetapi mereka butuh rahasia server Anda untuk melakukannya. Kami tidak mengambil rahasia dan tidak berpura-pura. Alat ini jujur tentang hanya dekode dan menampilkan waktu validitas tanpa rasa aman palsu.

Pertanyaan yang sering diajukan

Apakah memverifikasi tanda tangan?

Tidak. Verifikasi memerlukan rahasia server (untuk algoritma HS) atau kunci publik penerbit (untuk RS/ES/EdDSA). Keduanya adalah urusan sisi server — jangan pernah masukkan rahasia Anda ke alat pihak ketiga.

Apakah dekode JWT aman di peramban?

Ya — dekode hanyalah base64url + JSON.parse. Alat tidak mengirim token ke mana pun. Ingatlah didekode ≠ diverifikasi.

Bagaimana jika JWT saya memiliki titik tambahan?

JWT standar memiliki tepat tiga segmen. JWE (terenkripsi) memiliki lima segmen dan terlihat mirip; alat ini akan menampilkan "JWT tidak valid" karena tidak mendukung dekripsi JWE (butuh kunci penerima).

Mengapa validitas tampil hijau padahal saya tahu token kedaluwarsa di hulu?

Pil membandingkan klaim exp token dengan jam peramban Anda. Jika jam Anda salah, pil salah. Periksa nilai exp aktual di bawah.

Klaim tidak terdaftar?

Klaim kustom apa pun (role, scope, tenant, dll.) muncul di panel Payload. Hanya tujuh klaim terdaftar RFC 7519 yang mendapat blok penjelasan.

Ponsel?

Ya. Tempel, baca, salin.

💡 Ingin kami tingkatkan alat ini untuk Anda?

Kami bisa — dan gratis! Kirim pesan singkat dengan ide Anda. Jika ingin diskusi lebih detail, tinggalkan email dan kami akan menghubungi Anda. Bisa anonim.

Bagaimana Anda menilai alat ini?

Terima kasih atas penilaian Anda!

Ubah penilaian

Ingin meninggalkan komentar?

Ingin berbagi lebih? Tinggalkan komentar!

Terima kasih! Komentar Anda akan muncul setelah moderasi.

Siapa yang cocok menggunakan alat ini?

💻 Developer & IT Pro

Diterbitkan 22 Mei 2026