JWT-purkaja – pura JSON Web Tokenit ja tarkista vanheneminen verkossa
Liitä mikä tahansa JSON Web Token purkaaksesi sen otsikon ja hyötykuorman välittömästi, tarkastellaksesi allekirjoitusta ja tarkistaaksesi, onko se vanhentunut. Toimii paikallisesti – tunnuksesi eivät koskaan poistu selaimestasi.
Decode and verify entirely in your browser — nothing is uploaded.
Valmis JWT-dekooderin kanssa? Kokeile seuraavaksi näitä
Käsin valitut työkalut, jotka sopivat hyvin yhteen JWT-dekoodaajan kanssa. Jatka työtä tiedostoa menettämättä.
Base64-koodain / -dekooderi
Koodaa mikä tahansa teksti tai tiedosto Base64-muotoon (URL-turvallinen variantti mukaan lukien) tai pura Base64 takaisin tekstiksi. UTF-8-yhteensopiva.
Kokeile nytTiivisteen luoja
Laske minkä tahansa tekstin tai tiedoston SHA-1-, SHA-256-, SHA-384- ja SHA-512-heksatiivisteet selaimen Web Crypto API:n avulla.
Kokeile nytJSON-siistiminen
Muotoile, validoi ja minifoi JSON selaimessasi. Siisti 2 / 4 / 8 välilyönnin sisennys tai yksiriviinen minifiointi kopioinnilla ja latauksella.
Kokeile nytURL-koodain / -dekoodain
Prosenttikoodaa URL-osat tai kokonaiset URL-osoitteet ja pura ne takaisin. encodeURIComponent- ja encodeURI-tilat.
Kokeile nytSalasanageneraattori
Luo vahvoja, kryptografisesti satunnaisia salasanoja jopa 128 merkkiin asti reaaliaikaisella entropia-arviolla.
Kokeile nytDiff-vertailu
Vertaa kahta tekstipätkää rivi riviltä. Jaettu tai yhdistetty näkymä, valinnainen tyhjämerkkien ja kirjainkoon ohitus.
Kokeile nytFrequently Asked Questions
Liitä koodattu JWT (pitkä eyJ…-merkkijono) syöttökenttään. Työkalu jakaa sen kahdesta pisteestä, purkaa otsikon ja hyötykuorman Base64URL-muodosta ja näyttää kummankin JSON:n sekä raa'an allekirjoitussegmentin – kaikki ilman yhtäkään verkkopyyntöä.
usageEi. Dekooderi vain jäsentää tokenin — se ei tarkista allekirjoitusta salaista tai julkista avainta vastaan, koska vahvistus vaatii myöntäjän avainmateriaalin. Käytä palvelinpuolen JWT-kirjastoa tuotannon vahvistukseen; tämä työkalu on tarkoitettu tarkasteluun ja virheenkorjaukseen.
technicalSaat otsikon (algoritmi ja avaimen tunnus), hyötykuorman väittämät (sub, iss, aud, iat, exp ja mahdolliset mukautetut väittämät) sekä raa'an allekirjoituksen. Vakioaikaleimaväittämät muotoillaan ihmisen luettaviksi päivämääriksi, jotta huomaat vanhentuneet tunnukset yhdellä silmäyksellä.
featuresJos hyötykuorma sisältää vakiomuotoisen "exp"-väitteen, työkalu vertaa sitä nykyiseen aikaan ja näyttää joko "Voimassa" tai "Token vanheni" tarkan aikaleiman kanssa. Tokeneilla, joilla ei ole exp-väitettä, ilmoitetaan olevan voimassa rajattomasti.
featuresKuka tahansa, joka lukee JWT:n hyötykuorman, voi käyttää sitä sen vanhenemiseen asti, joten tuotantotunnukset kuuluvat yksityisiin työkaluihin. Tämä dekooderi toimii kokonaan selaimessasi eikä koskaan lähetä tunnusta eteenpäin, mutta turvallisempi sääntö on dekoodata lyhytikäisiä kehitystunnuksia aina kun mahdollista.
privacyJWT:ssä on kolme Base64URL-koodattua osaa pisteillä erotettuna: otsake (allekirjoitusalgoritmi), hyötykuorma (väittämät, jotka myöntäjä haluaa varmentajan luottavan) ja allekirjoitus (MAC tai digitaalinen allekirjoitus, joka kattaa header.payload-osan). Dekoodaus ei koskaan tarvitse avainta — vain varmennus tarvitsee.
technicalKompakti, URL-turvallinen token, joka koostuu kolmesta Base64URL-osasta — otsake, hyötykuorma ja allekirjoitus — ja kuljettaa allekirjoitettuja väittämiä, kuten käyttäjätunnusta ja vanhentumisaikaa. Sitä käytetään laajasti tilattomiin kirjautumisistuntoihin ja API-pyyntöjen suojaamiseen. Liitä token yllä, niin näet sen otsakkeen ja hyötykuorman.
technicalPuretun otsikon ja hyötykuorman alla liitä allekirjoitussalaisuus (HS256:lle) tai myöntäjän julkinen avain PEM- tai JWK-muodossa (RS256:lle, ES256:lle ja vastaaville) Vahvista allekirjoitus -kenttään ja napsauta sitten Vahvista. Ilmestyvä merkki kertoo, onko allekirjoitus voimassa, virheellinen vai käyttääkö se algoritmia, jota selainpuolen vahvistin ei tue — kaikki lasketaan paikallisesti lähettämättä tokenia tai avainta minnekään.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
OAuth- ja OpenID Connect -vuon vianetsintä
Pura Auth0:n, Oktan, Cogniton ja Azure AD:n palauttamat pääsy- ja ID-tokenit varmistaaksesi laajuudet, vastaanottajat ja myöntäjät paikallisen OAuth-integraatiotyön aikana
Tarkastele valtuutusotsikoita API-kutsuissa
Liitä bearer-tunnus epäonnistuneesta API-pyynnöstä varmistaaksesi, onko syynä väärä vuokralainen, rooli vai vanhentuminen, ennen kuin avaat tiketin backend-tiimille
Tarkista tokenin vanheneminen kehityksen aikana
Tunnista vanhentuneet tokenit, jotka rikkovat huomaamatta staging-ympäristösi, lukemalla exp-väitteen — tokenia ei tarvitse kopioida päätteeseen eikä kirjoittaa pikaista skriptiä
Tarkista tokenin claimeihin koodatut käyttöoikeudet
Vahvista mukautetut väittämät, kuten roolit, vuokralaiset ja ominaisuuslippumerkinnät, jotta ylläpitäjät voivat varmistaa, että asiakkaan token myöntää juuri ne käyttöoikeudet, jotka lisenssitiimi on tarkoittanut
Vahvista kertakirjautumisen integraatiot
Tarkastele yritystason SSO-integraatioiden tuottamia SAML- ja OIDC-tunnisteita varmistaaksesi ryhmäjäsenyydet ja attribuuttien yhteydet ennen käyttöönottoa kaikille työntekijöille
Opeta token-pohjaista todennusta
Käytä dekoodattuja otsake-, hyötykuorma- ja allekirjoituspaneeleja selittääksesi JWT-tunnusten rakenteen bootcamp-opiskelijoille, junior-insinööreille ja tietoturvatyöpajan osallistujille
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate