How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT-purkaja – pura JSON Web Tokenit ja tarkista vanheneminen verkossa

Liitä mikä tahansa JSON Web Token purkaaksesi sen otsikon ja hyötykuorman välittömästi, tarkastellaksesi allekirjoitusta ja tarkistaaksesi, onko se vanhentunut. Toimii paikallisesti – tunnuksesi eivät koskaan poistu selaimestasi.

Koodattu JWT

Tämä työkalu vain dekoodaa tokenin — se ei vahvista allekirjoitusta salaista tai julkista avainta vastaan. Kuka tahansa, jolla on token, voi lukea sen hyötykuorman, joten älä koskaan laita salaisuuksia JWT:hen.

Tiedostot poistetaan automaattisesti käsittelyn jälkeenEi vesileimojaIlmainen käyttää – ei rekisteröitymistä

Valmis JWT-dekooderin kanssa? Kokeile seuraavaksi näitä

Käsin valitut työkalut, jotka sopivat hyvin yhteen JWT-dekoodaajan kanssa. Jatka työtä tiedostoa menettämättä.

Näytä kaikki työkalut

Base64-koodain / -dekooderi

Koodaa mikä tahansa teksti tai tiedosto Base64-muotoon (URL-turvallinen variantti mukaan lukien) tai pura Base64 takaisin tekstiksi. UTF-8-yhteensopiva.

Kokeile nyt

Tiivisteen luoja

Laske minkä tahansa tekstin tai tiedoston SHA-1-, SHA-256-, SHA-384- ja SHA-512-heksatiivisteet selaimen Web Crypto API:n avulla.

Kokeile nyt

JSON-siistiminen

Muotoile, validoi ja minifoi JSON selaimessasi. Siisti 2 / 4 / 8 välilyönnin sisennys tai yksiriviinen minifiointi kopioinnilla ja latauksella.

Kokeile nyt

URL-koodain / -dekoodain

Prosenttikoodaa URL-osat tai kokonaiset URL-osoitteet ja pura ne takaisin. encodeURIComponent- ja encodeURI-tilat.

Kokeile nyt

Salasanageneraattori

Luo vahvoja, kryptografisesti satunnaisia salasanoja jopa 128 merkkiin asti reaaliaikaisella entropia-arviolla.

Kokeile nyt

Diff-vertailu

Vertaa kahta tekstipätkää rivi riviltä. Jaettu tai yhdistetty näkymä, valinnainen tyhjämerkkien ja kirjainkoon ohitus.

Kokeile nyt

Frequently Asked Questions

Liitä koodattu JWT (pitkä eyJ…-merkkijono) syöttökenttään. Työkalu jakaa sen kahdesta pisteestä, purkaa otsikon ja hyötykuorman Base64URL-muodosta ja näyttää kummankin JSON:n sekä raa'an allekirjoitussegmentin – kaikki ilman yhtäkään verkkopyyntöä.

usage

Ei. Dekooderi vain jäsentää tokenin — se ei tarkista allekirjoitusta salaista tai julkista avainta vastaan, koska vahvistus vaatii myöntäjän avainmateriaalin. Käytä palvelinpuolen JWT-kirjastoa tuotannon vahvistukseen; tämä työkalu on tarkoitettu tarkasteluun ja virheenkorjaukseen.

technical

Saat otsikon (algoritmi ja avaimen tunnus), hyötykuorman väittämät (sub, iss, aud, iat, exp ja mahdolliset mukautetut väittämät) sekä raa'an allekirjoituksen. Vakioaikaleimaväittämät muotoillaan ihmisen luettaviksi päivämääriksi, jotta huomaat vanhentuneet tunnukset yhdellä silmäyksellä.

features

Jos hyötykuorma sisältää vakiomuotoisen "exp"-väitteen, työkalu vertaa sitä nykyiseen aikaan ja näyttää joko "Voimassa" tai "Token vanheni" tarkan aikaleiman kanssa. Tokeneilla, joilla ei ole exp-väitettä, ilmoitetaan olevan voimassa rajattomasti.

features

Kuka tahansa, joka lukee JWT:n hyötykuorman, voi käyttää sitä sen vanhenemiseen asti, joten tuotantotunnukset kuuluvat yksityisiin työkaluihin. Tämä dekooderi toimii kokonaan selaimessasi eikä koskaan lähetä tunnusta eteenpäin, mutta turvallisempi sääntö on dekoodata lyhytikäisiä kehitystunnuksia aina kun mahdollista.

privacy

JWT:ssä on kolme Base64URL-koodattua osaa pisteillä erotettuna: otsake (allekirjoitusalgoritmi), hyötykuorma (väittämät, jotka myöntäjä haluaa varmentajan luottavan) ja allekirjoitus (MAC tai digitaalinen allekirjoitus, joka kattaa header.payload-osan). Dekoodaus ei koskaan tarvitse avainta — vain varmennus tarvitsee.

technical

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth- ja OpenID Connect -vuon vianetsintä

Pura Auth0:n, Oktan, Cogniton ja Azure AD:n palauttamat pääsy- ja ID-tokenit varmistaaksesi laajuudet, vastaanottajat ja myöntäjät paikallisen OAuth-integraatiotyön aikana

For Developers

Tarkastele valtuutusotsikoita API-kutsuissa

Liitä bearer-tunnus epäonnistuneesta API-pyynnöstä varmistaaksesi, onko syynä väärä vuokralainen, rooli vai vanhentuminen, ennen kuin avaat tiketin backend-tiimille

For Developers

Tarkista tokenin vanheneminen kehityksen aikana

Tunnista vanhentuneet tokenit, jotka rikkovat huomaamatta staging-ympäristösi, lukemalla exp-väitteen — tokenia ei tarvitse kopioida päätteeseen eikä kirjoittaa pikaista skriptiä

For Business

Tarkista tokenin claimeihin koodatut käyttöoikeudet

Vahvista mukautetut väittämät, kuten roolit, vuokralaiset ja ominaisuuslippumerkinnät, jotta ylläpitäjät voivat varmistaa, että asiakkaan token myöntää juuri ne käyttöoikeudet, jotka lisenssitiimi on tarkoittanut

For Business

Vahvista kertakirjautumisen integraatiot

Tarkastele yritystason SSO-integraatioiden tuottamia SAML- ja OIDC-tunnisteita varmistaaksesi ryhmäjäsenyydet ja attribuuttien yhteydet ennen käyttöönottoa kaikille työntekijöille

Education

Opeta token-pohjaista todennusta

Käytä dekoodattuja otsake-, hyötykuorma- ja allekirjoituspaneeleja selittääksesi JWT-tunnusten rakenteen bootcamp-opiskelijoille, junior-insinööreille ja tietoturvatyöpajan osallistujille

Try JWT Decoder now — it's free

Kuvatyökalut

PDF-työkalut

Muut työkalut

JWT-purkaja – pura JSON Web Tokenit ja tarkista vanheneminen verkossa

Valmis JWT-dekooderin kanssa? Kokeile seuraavaksi näitä

Base64-koodain / -dekooderi

Tiivisteen luoja

JSON-siistiminen

URL-koodain / -dekoodain

Salasanageneraattori

Diff-vertailu

Frequently Asked Questions

How JWT Decoder helps you get it done

OAuth- ja OpenID Connect -vuon vianetsintä

Tarkastele valtuutusotsikoita API-kutsuissa

Tarkista tokenin vanheneminen kehityksen aikana

Tarkista tokenin claimeihin koodatut käyttöoikeudet

Vahvista kertakirjautumisen integraatiot

Opeta token-pohjaista todennusta