JWT-purkaja – pura JSON Web Tokenit ja tarkista vanheneminen verkossa

Liitä mikä tahansa JSON Web Token purkaaksesi sen otsikon ja hyötykuorman välittömästi, tarkastellaksesi allekirjoitusta ja tarkistaaksesi, onko se vanhentunut. Toimii paikallisesti – tunnuksesi eivät koskaan poistu selaimestasi.

Koodattu JWT

Decode and verify entirely in your browser — nothing is uploaded.

Tiedostot poistetaan automaattisesti käsittelyn jälkeenKäsitelty turvallisesti HTTPS:n yli

Frequently Asked Questions

Liitä koodattu JWT (pitkä eyJ…-merkkijono) syöttökenttään. Työkalu jakaa sen kahdesta pisteestä, purkaa otsikon ja hyötykuorman Base64URL-muodosta ja näyttää kummankin JSON:n sekä raa'an allekirjoitussegmentin – kaikki ilman yhtäkään verkkopyyntöä.

usage

Ei. Dekooderi vain jäsentää tokenin — se ei tarkista allekirjoitusta salaista tai julkista avainta vastaan, koska vahvistus vaatii myöntäjän avainmateriaalin. Käytä palvelinpuolen JWT-kirjastoa tuotannon vahvistukseen; tämä työkalu on tarkoitettu tarkasteluun ja virheenkorjaukseen.

technical

Saat otsikon (algoritmi ja avaimen tunnus), hyötykuorman väittämät (sub, iss, aud, iat, exp ja mahdolliset mukautetut väittämät) sekä raa'an allekirjoituksen. Vakioaikaleimaväittämät muotoillaan ihmisen luettaviksi päivämääriksi, jotta huomaat vanhentuneet tunnukset yhdellä silmäyksellä.

features

Jos hyötykuorma sisältää vakiomuotoisen "exp"-väitteen, työkalu vertaa sitä nykyiseen aikaan ja näyttää joko "Voimassa" tai "Token vanheni" tarkan aikaleiman kanssa. Tokeneilla, joilla ei ole exp-väitettä, ilmoitetaan olevan voimassa rajattomasti.

features

Kuka tahansa, joka lukee JWT:n hyötykuorman, voi käyttää sitä sen vanhenemiseen asti, joten tuotantotunnukset kuuluvat yksityisiin työkaluihin. Tämä dekooderi toimii kokonaan selaimessasi eikä koskaan lähetä tunnusta eteenpäin, mutta turvallisempi sääntö on dekoodata lyhytikäisiä kehitystunnuksia aina kun mahdollista.

privacy

JWT:ssä on kolme Base64URL-koodattua osaa pisteillä erotettuna: otsake (allekirjoitusalgoritmi), hyötykuorma (väittämät, jotka myöntäjä haluaa varmentajan luottavan) ja allekirjoitus (MAC tai digitaalinen allekirjoitus, joka kattaa header.payload-osan). Dekoodaus ei koskaan tarvitse avainta — vain varmennus tarvitsee.

technical

Kompakti, URL-turvallinen token, joka koostuu kolmesta Base64URL-osasta — otsake, hyötykuorma ja allekirjoitus — ja kuljettaa allekirjoitettuja väittämiä, kuten käyttäjätunnusta ja vanhentumisaikaa. Sitä käytetään laajasti tilattomiin kirjautumisistuntoihin ja API-pyyntöjen suojaamiseen. Liitä token yllä, niin näet sen otsakkeen ja hyötykuorman.

technical

Puretun otsikon ja hyötykuorman alla liitä allekirjoitussalaisuus (HS256:lle) tai myöntäjän julkinen avain PEM- tai JWK-muodossa (RS256:lle, ES256:lle ja vastaaville) Vahvista allekirjoitus -kenttään ja napsauta sitten Vahvista. Ilmestyvä merkki kertoo, onko allekirjoitus voimassa, virheellinen vai käyttääkö se algoritmia, jota selainpuolen vahvistin ei tue — kaikki lasketaan paikallisesti lähettämättä tokenia tai avainta minnekään.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth- ja OpenID Connect -vuon vianetsintä

Pura Auth0:n, Oktan, Cogniton ja Azure AD:n palauttamat pääsy- ja ID-tokenit varmistaaksesi laajuudet, vastaanottajat ja myöntäjät paikallisen OAuth-integraatiotyön aikana

For Developers

Tarkastele valtuutusotsikoita API-kutsuissa

Liitä bearer-tunnus epäonnistuneesta API-pyynnöstä varmistaaksesi, onko syynä väärä vuokralainen, rooli vai vanhentuminen, ennen kuin avaat tiketin backend-tiimille

For Developers

Tarkista tokenin vanheneminen kehityksen aikana

Tunnista vanhentuneet tokenit, jotka rikkovat huomaamatta staging-ympäristösi, lukemalla exp-väitteen — tokenia ei tarvitse kopioida päätteeseen eikä kirjoittaa pikaista skriptiä

For Business

Tarkista tokenin claimeihin koodatut käyttöoikeudet

Vahvista mukautetut väittämät, kuten roolit, vuokralaiset ja ominaisuuslippumerkinnät, jotta ylläpitäjät voivat varmistaa, että asiakkaan token myöntää juuri ne käyttöoikeudet, jotka lisenssitiimi on tarkoittanut

For Business

Vahvista kertakirjautumisen integraatiot

Tarkastele yritystason SSO-integraatioiden tuottamia SAML- ja OIDC-tunnisteita varmistaaksesi ryhmäjäsenyydet ja attribuuttien yhteydet ennen käyttöönottoa kaikille työntekijöille

Education

Opeta token-pohjaista todennusta

Käytä dekoodattuja otsake-, hyötykuorma- ja allekirjoituspaneeleja selittääksesi JWT-tunnusten rakenteen bootcamp-opiskelijoille, junior-insinööreille ja tietoturvatyöpajan osallistujille

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.