JWT Debugger
Decode and inspect JWT tokens without signature verification.
JWT Debugger
What it does
Decodes JWT (JSON Web Tokens) and displays the header, payload, and signature in a readable format. Shows expiry status and decodes all timestamp fields. No signature verification is performed — for security inspection only.
How to use
- Paste your JWT token into the input field
- The header and payload are decoded and displayed instantly
- Expiry is checked automatically if the
expfield is present - Signature is shown but not verified
Privacy
Your token is decoded entirely in your browser using JavaScript’s atob. Your token never leaves this page. No data is sent to any server. This is safe for tokens containing sensitive claims.
Common use cases
- Debugging authentication issues
- Inspecting JWT expiry and
iat(issued at) times - Understanding the claims in a token
- Checking token audience (
aud) and issuer (iss)
Related tools
- Unix Timestamp — Convert
expandiattimestamps to human dates - Base64 String — Decode base64 manually
FAQ
Why doesn’t it verify the signature? Signature verification requires the secret key or public key, which should never be shared in a browser tool. Use your server-side JWT library for verification.
Can I use this in production? For debugging and inspection only. Never make security decisions based on unverified JWT claims.
What JWT algorithms are supported for decoding? All algorithms — the payload is base64-decoded regardless of the algorithm. Signature verification is not supported.
Depurador JWT
O que faz
Decodifica JWTs (JSON Web Tokens) e exibe o cabeçalho, payload e assinatura em formato legível. Mostra status de expiração e decodifica todos os campos de timestamp. Nenhuma verificação de assinatura é realizada — apenas para inspeção de segurança.
Como usar
- Cole seu token JWT no campo de entrada
- O cabeçalho e payload são decodificados e exibidos instantaneamente
- A expiração é verificada automaticamente se o campo
expestiver presente - A assinatura é mostrada mas não verificada
Privacidade
Seu token é decodificado inteiramente no seu navegador usando atob do JavaScript. Seu token nunca sai desta página. Nenhum dado é enviado para nenhum servidor. Isso é seguro para tokens contendo claims sensíveis.
Casos de uso comuns
- Depurar problemas de autenticação
- Inspecionar expiração JWT e tempos
iat(emitido em) - Entender as claims em um token
- Verificar audiência (
aud) e emissor (iss) do token
Ferramentas relacionadas
- Timestamp Unix — Converta timestamps
expeiatpara datas legíveis - Base64 String — Decodifique base64 manualmente
Perguntas frequentes
Por que não verifica a assinatura? A verificação de assinatura requer a chave secreta ou pública, que nunca deve ser compartilhada em uma ferramenta do navegador. Use sua biblioteca JWT do lado do servidor para verificação.
Posso usar isso em produção? Apenas para depuração e inspeção. Nunca tome decisões de segurança baseadas em claims JWT não verificados.
Quais algoritmos JWT são suportados para decodificação? Todos os algoritmos — o payload é decodificado em base64 independentemente do algoritmo.