JWT-dekoder – dekod JSON Web Tokens og sjekk utløp på nett

Lim inn et hvilket som helst JSON Web Token for å dekode header og nyttelast umiddelbart, se signaturen og sjekke om det har utløpt. Kjører lokalt – tokenene dine forlater aldri nettleseren din.

Kodet JWT

Decode and verify entirely in your browser — nothing is uploaded.

Filer slettes automatisk etter behandlingBehandlet sikkert over HTTPS

Frequently Asked Questions

Lim inn det kodede JWT-et (den lange eyJ …-strengen) i inndatafeltet. Verktøyet deler det på de to punktumene, Base64URL-dekoder header og nyttelast, og viser JSON-en for hver av dem pluss det rå signatursegmentet – alt uten å sende noen nettverksforespørsel.

usage

Nei. Dekoderen tolker bare tokenet – den kontrollerer ikke signaturen mot en hemmelig eller offentlig nøkkel, fordi verifisering krever utstederens nøkkelmateriale. Bruk et JWT-bibliotek på serversiden for verifisering i produksjon; dette verktøyet er ment for inspeksjon og feilsøking.

technical

Du får hodet (algoritme og nøkkel-id), nyttelastens claims (sub, iss, aud, iat, exp og eventuelle egendefinerte claims) og den rå signaturen. Standard tidsstempel-claims formateres som lesbare datoer, slik at du raskt kan oppdage utdaterte tokener.

features

Hvis nyttelasten inneholder standard-kravet «exp», sammenligner verktøyet det med gjeldende tidspunkt og viser enten «Gyldig til» eller «Token utløp» med det nøyaktige tidsstempelet. Tokens uten et exp-krav rapporteres som å ikke ha noen utløpstid.

features

Alle som leser nyttelasten i en JWT kan bruke den til den utløper, så produksjonstokener hører hjemme i private verktøy. Denne dekoderen kjører utelukkende i nettleseren din og overfører aldri tokenet, men den tryggeste regelen er å dekode kortlivede utviklingstokener når det er mulig.

privacy

En JWT har tre Base64URL-kodede segmenter atskilt med punktum: header (signeringsalgoritme), payload (kravene utstederen vil at verifikatoren skal stole på) og signatur (en MAC eller digital signatur over header.payload). Dekoding krever aldri en nøkkel – bare verifisering gjør det.

technical

Et kompakt, URL-sikkert token bestående av tre Base64URL-segmenter — header, nyttelast og signatur — som bærer signerte opplysninger som en bruker-ID og en utløpstid. Det brukes mye til tilstandsløse innloggingsøkter og til å sikre API-forespørsler. Lim inn et over for å inspisere headeren og nyttelasten.

technical

Under den dekodede headeren og nyttelasten limer du inn signeringshemmeligheten (for HS256) eller utstederens offentlige nøkkel i PEM- eller JWK-format (for RS256, ES256 og lignende) i feltet Verifiser signatur, og klikker deretter Verifiser. Merket som vises, forteller om signaturen er gyldig, ugyldig eller bruker en algoritme som verifisereren på nettlesersiden ikke støtter — alt beregnet lokalt, uten å sende token eller nøkkel noe sted.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Klikk Try sample JWT for å laste inn et demo-HS256-token med sub-, name-, iat- og exp-claims, slik at du kan se dekoding og utløpskontroll i praksis før du limer inn ditt eget token. Så snart et token ligger i boksen, dukker det opp en Clear-knapp ved siden av som tømmer inndataen med ett klikk.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Feilsøk OAuth- og OpenID Connect-flyter

Dekod tilgangstokens og ID-tokens returnert av Auth0, Okta, Cognito og Azure AD for å verifisere scopes, mottakere og utstedere under lokalt OAuth-integrasjonsarbeid

For Developers

Inspiser autorisasjonshoder i API-kall

Lim inn bearer-tokenet fra en mislykket API-forespørsel for å bekrefte om feil tenant, rolle eller utløp er skyld i det før du oppretter en sak hos backend-teamet

For Developers

Kontroller token-utløp under utvikling

Oppdag utløpte tokens som i det stille bryter staging-miljøet ditt ved å lese exp-feltet — uten å måtte kopiere tokenet inn i en terminal eller skrive et hastig skript

For Business

Revider tillatelser kodet i token-claims

Verifiser egendefinerte claims som roller, tenants og funksjonsflagg, slik at administratorer kan bekrefte at en kundes token gir nøyaktig den tilgangen lisensteamet har tiltenkt

For Business

Valider Single Sign-On-integrasjoner

Inspiser SAML- og OIDC-tokens generert av SSO-integrasjoner i bedriften for å bekrefte gruppemedlemskap og attributtkoblinger før du ruller ut til alle ansatte

Education

Lær bort token-basert autentisering

Bruk de dekodede rutene for topptekst, nyttelast og signatur til å forklare hvordan JWT-er er bygget opp, til bootcamp-studenter, juniorutviklere og deltakere på sikkerhetsworkshops

For Developers

Bekreft en partners webhook-signeringsoppsett

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.