How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT-dekooderi – JSON Web Tokenien purku ja Tarkista Vanhenemisaika verkossa

Liitä mikä tahansa JSON Web Token purkaaksesi sen otsikon ja kuorman välittömästi, katso allekirjoituksen ja tarkista, onko se vanhentunut. Toimii paikallisesti — tokenisi eivät koskaan poistu selaimesta.

Koodattu JWT

Tämä työkalu purkaa vain tokenin — se ei vahvista allekirjoitusta salaiselle tai julkiselle avaimelle. Kuka tahansa, jolla on token, voi lukea sen payloadin, joten älä koskaan laita salaisuuksia JWT:hen.

Tietoa JSON Web Tokeneista

JWT:ssä on kolme Base64URL-koodattua segmenttiä, jotka on erotettu pisteillä: otsikko, hyötykuorma ja allekirjoitus. Otsikko kuvaa allekirjoitusalgoritmia, hyötykuorma kantaa vaatimuksia (kuten sub, iat, exp), ja allekirjoitus antaa palvelimelle mahdollisuuden varmistaa, ettei tokenia ole manipuloitu. Dekoodaus ei koskaan vaadi salaisuutta.

Jatka kuvien parantamista

Vie valokuvien muokkaus uudelle tasolle näillä suosituilla työkaluilla

📝

Lisää tekstiä kuvaan

Kuvatekstien ja otsikoiden lisääminen parannettuun kuvaan

🖼️

Lisää valokuvan reunus

Rajaa tehosteesi kauniilla reunuksilla

🗜️

Pakkaa kuva

Optimoi parannettu kuva jakamista varten

📐

Muuta kuvan kokoa

Muuta kuvan mittoja

📝

Lisää tekstiä kuvaan

Kuvatekstien ja otsikoiden lisääminen parannettuun kuvaan

Kokeile nyt

🖼️

Lisää valokuvan reunus

Rajaa tehosteesi kauniilla reunuksilla

Kokeile nyt

🗜️

Pakkaa kuva

Optimoi parannettu kuva jakamista varten

Kokeile nyt

📐

Muuta kuvan kokoa

Muuta kuvan mittoja

Kokeile nyt

🎨

Kuva sarjakuvaan

Kokeile toista taiteellista tyyliä

Kokeile nyt

✏️

Lyijykynän luonnos

Luo taiteellisia lyijykynäpiirroksia

Kokeile nyt

Tutustu kaikkiin valokuvatyökaluihin

Frequently Asked Questions

Liitä koodattu JWT (pitkä eyJ... merkkijono) syöttölaatikkoon. Työkalu jakaa sen kahteen pisteeseen, Base64URL purkaa otsikon ja hyötykuorman, ja näyttää JSON:n kummallekin sekä raakaallekirjoitussegmentin — kaikki ilman verkkopyyntöä.

usage

Ei. Dekooderi jäsentää vain tokenin — se ei tarkista allekirjoitusta salaisen tai julkisen avaimen perusteella, koska varmennus vaatii liikkeeseenlaskijan avainmateriaalin. Käytä palvelinpuolen JWT-kirjastoa tuotannon varmennukseen; Tämä työkalu on tarkastusta ja virheenkorjausta varten.

technical

Saat otsikon (algoritmi ja avaimen tunniste), hyötykuorman vaatimukset (sub, iss, aud, iat, exp ja mahdolliset mukautetut väitteet) sekä raakaallekirjoituksen. Tavalliset aikaleimaväitteet on muotoiltu ihmisen luettaviksi päivämääriksi, joten vanhentuneet tokenit voidaan tunnistaa yhdellä silmäyksellä.

features

Jos hyötykuorma sisältää standardin "exp"-väitteen, työkalu vertaa sitä nykyiseen aikaan ja näyttää joko "Voimassa until" tai "Token expired at" tarkalla aikaleimalla. Tokenit, joilla ei ole exp-vaatimusta, ilmoitetaan vanhenemattomiksi.

features

Kuka tahansa, joka lukee JWT:n hyötykuorman, voi käyttää sitä siihen asti, kunnes se vanhenee, joten tuotantotokenit kuuluvat yksityisiin työkaluihin. Tämä dekooderi toimii kokonaan selaimessasi eikä koskaan siirrä tokenia, mutta turvallisempi sääntö on purkaa lyhytikäiset kehitystokenit aina kun mahdollista.

privacy

JWT:ssä on kolme Base64URL-koodattua segmenttiä, jotka on erotettu pisteillä: otsikko (allekirjoitusalgoritmi), hyötykuorma (ne väitteet, joihin myöntäjä haluaa tarkastajan luottavan) ja allekirjoitus (MAC tai digitaalinen allekirjoitus header.payloadin kautta). Dekoodaus ei koskaan tarvitse avainta — vain varmennus vaatii.

technical

Use Cases

Debug OAuth & OpenID Connect Flows

Dekoodaa pääsytunnukset ja ID-tokenit, jotka Auth0, Okta, Cognito ja Azure AD palauttivat, jotta voidaan varmistaa laajuudet, yleisöt ja liikkeeseenlaskijat paikallisen OAuth-integraation aikana

technical

Tarkastele valtuutusotsikoita API-kutsuissa

Liitä kantajatoken epäonnistuneesta API-pyynnöstä varmistaaksesi, onko syynä väärä vuokralainen, rooli tai vanheneminen ennen kuin avaat tukipyynnön taustatiimille

technical

Tarkista tokenien vanheneminen kehityksen aikana

Tunnista vanhentuneet tokenit, jotka hiljaisesti rikkovat staging-ympäristöäsi lukemalla exp-vaatimusta — ei tarvitse kopioida tokenia terminaaliin tai kirjoittaa nopeaa skriptiä

technical

Auditointioikeudet, jotka on koodattu token-väitteisiin

Vahvista mukautetut väitteet, kuten roolit, vuokralaiset ja ominaisuusliput, jotta ylläpitäjät voivat varmistaa, että asiakkaan token myöntää täsmälleen lisenssitiimin tarkoittaman pääsyn

business

Validoi Single Sign-On -integraatiot

Tarkastaa yritysten SSO-integraatioiden tuottamat SAML- ja OIDC-tokenit vahvistaaksesi ryhmäjäsenyydet ja attribuuttikartoitukset ennen niiden käyttöönottoa kaikille työntekijöille

business

Opeta token-pohjaista tunnistautumista

Käytä purettua otsikkoa, hyötykuormaa ja allekirjoitusruutuja selittämään, miten JWT:t on rakennettu bootcamp-opiskelijoille, nuorille insinööreille ja turvallisuustyöpajan osallistujille

educational