How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT-dekoder - Afkod JSON Web Tokens og Check udløb online

Indsæt et hvilket som helst JSON Web Token for øjeblikkeligt at dekode headeren og payloaden, se signaturen og tjekke, om den er udløbet. Kører lokalt — dine tokens forlader aldrig din browser.

Kodet JWT

Dette værktøj dekrypterer kun tokenet — det verificerer ikke signaturen mod en hemmelig eller offentlig nøgle. Alle med tokenet kan læse dens payload, så læg aldrig hemmeligheder i en JWT.

Om JSON Web Tokens

En JWT har tre Base64URL-kodede segmenter adskilt af prikker: header, payload og signatur. Headeren beskriver signeringsalgoritmen, nyttelasten bærer krav (som sub, iat, exp), og signaturen lader en server verificere, at tokenet ikke er blevet manipuleret med. Dekodning kræver aldrig en hemmelighed.

Fortsæt med at forbedre dine billeder

Tag din fotoredigering til det næste niveau med disse populære værktøjer

📝

Tilføj tekst til billede

Føj billedtekster og titler til dit forbedrede billede

🖼️

Tilføj fotokant

Indram din effekt med smukke kanter

🗜️

Komprimer billede

Optimer dit forbedrede billede til deling

📐

Tilpas størrelse på billede

Skift billeddimensioner

📝

Tilføj tekst til billede

Føj billedtekster og titler til dit forbedrede billede

Prøv det nu

🖼️

Tilføj fotokant

Indram din effekt med smukke kanter

Prøv det nu

🗜️

Komprimer billede

Optimer dit forbedrede billede til deling

Prøv det nu

📐

Tilpas størrelse på billede

Skift billeddimensioner

Prøv det nu

🎨

Foto til tegneserie

Prøv en anden kunstnerisk stil

Prøv det nu

✏️

Blyant skitse

Opret kunstneriske blyantstegninger

Prøv det nu

Udforsk alle fotoværktøjer

Frequently Asked Questions

Indsæt den kodede JWT (den lange eyJ... streng) ind i inputboksen. Værktøjet deler det op på de to punkter, Base64URL-dekoder header og payload, og viser JSON'en for hver plus det rå signatursegment — alt sammen uden at lave nogen netværksforespørgsel.

usage

Nej. Dekoderen parser kun tokenet — den tjekker ikke signaturen mod en hemmelig eller offentlig nøgle, fordi verifikation kræver udstederens nøglemateriale. Brug et server-side JWT-bibliotek til produktionsverifikation; Dette værktøj er til inspektion og fejlfinding.

technical

Du får headeren (algoritme og nøgle-id), payload-kravene (sub, iss, aud, iat, exp og eventuelle brugerdefinerede krav) og råsignaturen. Standard tidsstempelpåstande er formateret som menneskelæselige datoer, så du kan spotte forældede tokens med et hurtigt blik.

features

Hvis nyttelasten indeholder den standard "exp"-påstand, sammenligner værktøjet den med det aktuelle tidspunkt og viser enten "Gyldig til" eller "Token udløb kl." med det præcise tidsstempel. Tokens uden en exp-claim rapporteres som uden udløb.

features

Alle, der læser payloaden fra en JWT, kan bruge den, indtil den udløber, så produktionstokens hører hjemme i private værktøjer. Denne dekoder kører udelukkende i din browser og sender aldrig tokenet, men den sikrere regel er at dekode kortlivede udviklingstokens, når det er muligt.

privacy

En JWT har tre Base64URL-kodede segmenter adskilt af prikker: header (signeringsalgoritme), payload (de påstande, udstederen ønsker, at verifikatoren skal stole på) og signatur (en MAC- eller digital signatur over header.payload). Dekodning behøver aldrig en nøgle – kun verifikation gør.

technical

Use Cases

Fejlfinding af OAuth & OpenID Connect Flows

Dekod adgangstoks og ID-tokens, der returneres af Auth0, Okta, Cognito og Azure AD for at verificere scopes, målgrupper og udstedere under lokal OAuth-integrationsarbejde

technical

Inspektér autorisationsheadere i API-kald

Indsæt bærertokenet fra en fejlslagen API-anmodning for at bekræfte, om det er den forkerte lejer, rolle eller udløbsdato, før du åbner en sag hos backend-teamet

technical

Checktokens udløb under udvikling

Find udløbne tokens, der lydløst bryder dit staging-miljø ved at læse exp-kravet — der er ikke behov for at kopiere tokenet ind i en terminal eller skrive et hurtigt script

technical

Revisionstilladelser kodet i token-krav

Verificér brugerdefinerede krav såsom roller, lejere og feature-flag, så administratorer kan bekræfte, at en kundes token giver præcis den adgang, licensteamet har tiltænkt

business

Valider Single Sign-On integrationer

Inspicer SAML- og OIDC-tokens produceret af enterprise SSO-integrationer for at bekræfte gruppemedlemskaber og attributmappinger, før det udrulles til alle medarbejdere

business

Teach token-baseret autentificering

Brug de afkodede header-, nyttelast- og signaturpaneler til at forklare, hvordan JWT'er er struktureret for bootcamp-studerende, junioringeniører og deltagere i sikkerhedsworkshops.

educational