JWT-dekoder – afkod JSON Web Tokens og tjek udløb online

Indsæt en vilkårlig JSON Web Token for straks at afkode dens header og payload, se signaturen og kontrollere, om den er udløbet. Kører lokalt — dine tokens forlader aldrig din browser.

Indkodet JWT

Decode and verify entirely in your browser — nothing is uploaded.

Filer slettes automatisk efter behandlingBehandlet sikkert over HTTPS

Frequently Asked Questions

Indsæt den kodede JWT (den lange eyJ…-streng) i inputfeltet. Værktøjet deler den ved de to punktummer, Base64URL-afkoder headeren og payloaden og viser JSON'en for hver plus det rå signatursegment — alt sammen uden at sende nogen netværksforespørgsel.

usage

Nej. Afkoderen parser kun tokenet — den kontrollerer ikke signaturen mod en hemmelig eller offentlig nøgle, fordi verificering kræver udstederens nøglemateriale. Brug et JWT-bibliotek på serversiden til verificering i produktion; dette værktøj er til inspektion og fejlfinding.

technical

Du får headeren (algoritme og nøgle-id), payload-claims (sub, iss, aud, iat, exp og eventuelle brugerdefinerede claims) og den rå signatur. Standard-tidsstempel-claims formateres som læsbare datoer, så du kan opdage forældede tokens med et enkelt blik.

features

Hvis nyttelasten indeholder standard-claimet "exp", sammenligner værktøjet det med det aktuelle tidspunkt og viser enten "Gyldig indtil" eller "Token udløb kl." med det præcise tidsstempel. Tokens uden et exp-claim rapporteres som havende ingen udløbsdato.

features

Alle, der kan læse indholdet af en JWT, kan bruge den, indtil den udløber, så produktionstokens hører hjemme i private værktøjer. Denne afkoder kører udelukkende i din browser og sender aldrig token videre, men den sikreste regel er at afkode kortlivede udviklingstokens, når det er muligt.

privacy

En JWT har tre Base64URL-kodede segmenter adskilt af punktummer: header (signeringsalgoritme), payload (de claims, udstederen vil have verifikatoren til at stole på) og signatur (en MAC eller digital signatur over header.payload). Afkodning kræver aldrig en nøgle — kun verifikation gør.

technical

Et kompakt, URL-sikkert token bestående af tre Base64URL-segmenter — header, payload og signatur — der bærer signerede claims som et bruger-ID og et udløbstidspunkt. Det bruges i vid udstrækning til tilstandsløse login-sessioner og til at sikre API-anmodninger. Indsæt et ovenfor for at inspicere dets header og payload.

technical

Under den afkodede header og payload indsætter du signeringshemmeligheden (for HS256) eller udstederens offentlige nøgle i PEM- eller JWK-format (for RS256, ES256 og lignende) i feltet Verificér signatur og klikker derefter på Verificér. Mærket, der vises, angiver, om signaturen er gyldig, ugyldig eller bruger en algoritme, som verifikatoren på browsersiden ikke understøtter — alt beregnes lokalt uden at sende token eller nøgle nogen steder hen.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Klik på Prøv eksempel-JWT for at indlæse en demo-HS256-token med sub-, name-, iat- og exp-claims, så du kan se afkodning og udløbstjek fungere, før du indsætter din egen token. Når en token er i feltet, vises en Ryd-knap ved siden af den, som tømmer inputtet igen med ét klik.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Fejlsøg OAuth- og OpenID Connect-flows

Afkod adgangstokens og ID-tokens returneret af Auth0, Okta, Cognito og Azure AD for at verificere scopes, audiences og issuers under lokalt arbejde med OAuth-integration

For Developers

Undersøg autorisations-headers i API-kald

Indsæt bearer-token fra en fejlende API-forespørgsel for at bekræfte, om det er den forkerte tenant, rolle eller udløbstid, der er skyld i fejlen, før du opretter en sag hos backend-teamet

For Developers

Kontrollér tokenudløb under udvikling

Find udløbne tokens, der i det skjulte ødelægger dit staging-miljø, ved at læse exp-claimet — uden at kopiere tokenet ind i en terminal eller skrive et hurtigt script

For Business

Gennemgå tilladelser kodet i token-claims

Bekræft tilpassede claims såsom roller, tenants og feature flags, så administratorer kan bekræfte, at en kundes token giver præcis den adgang, licensteamet havde til hensigt

For Business

Valider Single Sign-On-integrationer

Undersøg SAML- og OIDC-tokens fra virksomheders SSO-integrationer for at bekræfte gruppemedlemskaber og attributmapninger, før du udruller til alle medarbejdere

Education

Undervis i token-baseret godkendelse

Brug ruderne med den afkodede header, payload og signatur til at forklare bootcamp-studerende, junioringeniører og deltagere i sikkerhedsworkshops, hvordan JWT'er er opbygget

For Developers

Bekræft en partners opsætning af webhook-signering

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.