JWT-dekoder – afkod JSON Web Tokens og tjek udløb online

Indsæt den kodede JWT (den lange eyJ…-streng) i inputfeltet. Værktøjet deler den ved de to punktummer, Base64URL-afkoder headeren og payloaden og viser JSON'en for hver plus det rå signatursegment — alt sammen uden at sende nogen netværksforespørgsel.

Nej. Afkoderen parser kun tokenet — den kontrollerer ikke signaturen mod en hemmelig eller offentlig nøgle, fordi verificering kræver udstederens nøglemateriale. Brug et JWT-bibliotek på serversiden til verificering i produktion; dette værktøj er til inspektion og fejlfinding.

Du får headeren (algoritme og nøgle-id), payload-claims (sub, iss, aud, iat, exp og eventuelle brugerdefinerede claims) og den rå signatur. Standard-tidsstempel-claims formateres som læsbare datoer, så du kan opdage forældede tokens med et enkelt blik.

Hvis nyttelasten indeholder standard-claimet "exp", sammenligner værktøjet det med det aktuelle tidspunkt og viser enten "Gyldig indtil" eller "Token udløb kl." med det præcise tidsstempel. Tokens uden et exp-claim rapporteres som havende ingen udløbsdato.

Alle, der kan læse indholdet af en JWT, kan bruge den, indtil den udløber, så produktionstokens hører hjemme i private værktøjer. Denne afkoder kører udelukkende i din browser og sender aldrig token videre, men den sikreste regel er at afkode kortlivede udviklingstokens, når det er muligt.

En JWT har tre Base64URL-kodede segmenter adskilt af punktummer: header (signeringsalgoritme), payload (de claims, udstederen vil have verifikatoren til at stole på) og signatur (en MAC eller digital signatur over header.payload). Afkodning kræver aldrig en nøgle — kun verifikation gør.