JWT-dekoder – dekod JSON Web Tokens og sjekk utløp på nett

Lim inn det kodede JWT-et (den lange eyJ …-strengen) i inndatafeltet. Verktøyet deler det på de to punktumene, Base64URL-dekoder header og nyttelast, og viser JSON-en for hver av dem pluss det rå signatursegmentet – alt uten å sende noen nettverksforespørsel.

Nei. Dekoderen tolker bare tokenet – den kontrollerer ikke signaturen mot en hemmelig eller offentlig nøkkel, fordi verifisering krever utstederens nøkkelmateriale. Bruk et JWT-bibliotek på serversiden for verifisering i produksjon; dette verktøyet er ment for inspeksjon og feilsøking.

Du får hodet (algoritme og nøkkel-id), nyttelastens claims (sub, iss, aud, iat, exp og eventuelle egendefinerte claims) og den rå signaturen. Standard tidsstempel-claims formateres som lesbare datoer, slik at du raskt kan oppdage utdaterte tokener.

Hvis nyttelasten inneholder standard-kravet «exp», sammenligner verktøyet det med gjeldende tidspunkt og viser enten «Gyldig til» eller «Token utløp» med det nøyaktige tidsstempelet. Tokens uten et exp-krav rapporteres som å ikke ha noen utløpstid.

Alle som leser nyttelasten i en JWT kan bruke den til den utløper, så produksjonstokener hører hjemme i private verktøy. Denne dekoderen kjører utelukkende i nettleseren din og overfører aldri tokenet, men den tryggeste regelen er å dekode kortlivede utviklingstokener når det er mulig.

En JWT har tre Base64URL-kodede segmenter atskilt med punktum: header (signeringsalgoritme), payload (kravene utstederen vil at verifikatoren skal stole på) og signatur (en MAC eller digital signatur over header.payload). Dekoding krever aldri en nøkkel – bare verifisering gjør det.