JWT-dekoder – dekod JSON Web Tokens og sjekk utløp på nett
Lim inn et hvilket som helst JSON Web Token for å dekode header og nyttelast umiddelbart, se signaturen og sjekke om det har utløpt. Kjører lokalt – tokenene dine forlater aldri nettleseren din.
Decode and verify entirely in your browser — nothing is uploaded.
Ferdig med JWT-dekoder? Prøv disse neste
Håndplukkede verktøy som passer godt sammen med JWT-dekoder. Fortsett uten å miste filen din.
Base64-koder / -dekoder
Kod hvilken som helst tekst eller fil til Base64 (med URL-sikker variant), eller dekod Base64 tilbake til tekst. UTF-8-sikker.
Prøv det nåHash-generator
Beregn SHA-1-, SHA-256-, SHA-384- og SHA-512-hex-sammendrag av hvilken som helst tekst eller fil ved hjelp av nettleserens Web Crypto API.
Prøv det nåJSON-forskjønning
Formater, valider og minifiser JSON i nettleseren. Pen formatering med 2 / 4 / 8 mellomroms innrykk eller minifisering til én linje med kopiering + nedlasting.
Prøv det nåURL-koder / -dekoder
Prosentkode URL-komponenter eller hele URL-er, og dekod dem tilbake igjen. Moduser for encodeURIComponent og encodeURI.
Prøv det nåPassordgenerator
Generer sterke, kryptografisk tilfeldige passord på opptil 128 tegn med live entropiestimering.
Prøv det nåDiff-sjekker
Sammenlign to tekstutdrag linje for linje. Delt eller samlet visning, med valgfri ignorering av mellomrom og store/små bokstaver.
Prøv det nåFrequently Asked Questions
Lim inn det kodede JWT-et (den lange eyJ …-strengen) i inndatafeltet. Verktøyet deler det på de to punktumene, Base64URL-dekoder header og nyttelast, og viser JSON-en for hver av dem pluss det rå signatursegmentet – alt uten å sende noen nettverksforespørsel.
usageNei. Dekoderen tolker bare tokenet – den kontrollerer ikke signaturen mot en hemmelig eller offentlig nøkkel, fordi verifisering krever utstederens nøkkelmateriale. Bruk et JWT-bibliotek på serversiden for verifisering i produksjon; dette verktøyet er ment for inspeksjon og feilsøking.
technicalDu får hodet (algoritme og nøkkel-id), nyttelastens claims (sub, iss, aud, iat, exp og eventuelle egendefinerte claims) og den rå signaturen. Standard tidsstempel-claims formateres som lesbare datoer, slik at du raskt kan oppdage utdaterte tokener.
featuresHvis nyttelasten inneholder standard-kravet «exp», sammenligner verktøyet det med gjeldende tidspunkt og viser enten «Gyldig til» eller «Token utløp» med det nøyaktige tidsstempelet. Tokens uten et exp-krav rapporteres som å ikke ha noen utløpstid.
featuresAlle som leser nyttelasten i en JWT kan bruke den til den utløper, så produksjonstokener hører hjemme i private verktøy. Denne dekoderen kjører utelukkende i nettleseren din og overfører aldri tokenet, men den tryggeste regelen er å dekode kortlivede utviklingstokener når det er mulig.
privacyEn JWT har tre Base64URL-kodede segmenter atskilt med punktum: header (signeringsalgoritme), payload (kravene utstederen vil at verifikatoren skal stole på) og signatur (en MAC eller digital signatur over header.payload). Dekoding krever aldri en nøkkel – bare verifisering gjør det.
technicalEt kompakt, URL-sikkert token bestående av tre Base64URL-segmenter — header, nyttelast og signatur — som bærer signerte opplysninger som en bruker-ID og en utløpstid. Det brukes mye til tilstandsløse innloggingsøkter og til å sikre API-forespørsler. Lim inn et over for å inspisere headeren og nyttelasten.
technicalUnder den dekodede headeren og nyttelasten limer du inn signeringshemmeligheten (for HS256) eller utstederens offentlige nøkkel i PEM- eller JWK-format (for RS256, ES256 og lignende) i feltet Verifiser signatur, og klikker deretter Verifiser. Merket som vises, forteller om signaturen er gyldig, ugyldig eller bruker en algoritme som verifisereren på nettlesersiden ikke støtter — alt beregnet lokalt, uten å sende token eller nøkkel noe sted.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsKlikk Try sample JWT for å laste inn et demo-HS256-token med sub-, name-, iat- og exp-claims, slik at du kan se dekoding og utløpskontroll i praksis før du limer inn ditt eget token. Så snart et token ligger i boksen, dukker det opp en Clear-knapp ved siden av som tømmer inndataen med ett klikk.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
Feilsøk OAuth- og OpenID Connect-flyter
Dekod tilgangstokens og ID-tokens returnert av Auth0, Okta, Cognito og Azure AD for å verifisere scopes, mottakere og utstedere under lokalt OAuth-integrasjonsarbeid
Inspiser autorisasjonshoder i API-kall
Lim inn bearer-tokenet fra en mislykket API-forespørsel for å bekrefte om feil tenant, rolle eller utløp er skyld i det før du oppretter en sak hos backend-teamet
Kontroller token-utløp under utvikling
Oppdag utløpte tokens som i det stille bryter staging-miljøet ditt ved å lese exp-feltet — uten å måtte kopiere tokenet inn i en terminal eller skrive et hastig skript
Revider tillatelser kodet i token-claims
Verifiser egendefinerte claims som roller, tenants og funksjonsflagg, slik at administratorer kan bekrefte at en kundes token gir nøyaktig den tilgangen lisensteamet har tiltenkt
Valider Single Sign-On-integrasjoner
Inspiser SAML- og OIDC-tokens generert av SSO-integrasjoner i bedriften for å bekrefte gruppemedlemskap og attributtkoblinger før du ruller ut til alle ansatte
Lær bort token-basert autentisering
Bruk de dekodede rutene for topptekst, nyttelast og signatur til å forklare hvordan JWT-er er bygget opp, til bootcamp-studenter, juniorutviklere og deltakere på sikkerhetsworkshops
Bekreft en partners webhook-signeringsoppsett
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate