JWT ਡੀਕੋਡਰ - ਆਨਲਾਈਨ JSON Web Token ਡੀਕੋਡ ਕਰੋ ਅਤੇ ਮਿਆਦ ਜਾਂਚੋ

ਕਿਸੇ ਵੀ JSON Web Token ਨੂੰ ਪੇਸਟ ਕਰੋ ਤਾਂ ਜੋ ਇਸ ਦੇ ਹੈਡਰ ਅਤੇ ਪੇਲੋਡ ਨੂੰ ਤੁਰੰਤ ਡੀਕੋਡ ਕਰੋ, ਦਸਤਖ਼ਤ ਦੇਖੋ, ਅਤੇ ਜਾਂਚ ਕਰੋ ਕਿ ਕੀ ਇਹ ਮਿਆਦ ਪੁੱਗ ਚੁੱਕਾ ਹੈ। ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਚੱਲਦਾ ਹੈ — ਤੁਹਾਡੇ ਟੋਕਨ ਕਦੇ ਵੀ ਤੁਹਾਡੇ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਬਾਹਰ ਨਹੀਂ ਜਾਂਦੇ।

ਐਨਕੋਡ ਕੀਤਾ JWT

Decode and verify entirely in your browser — nothing is uploaded.

ਫ਼ਾਈਲਾਂ ਪ੍ਰੋਸੈਸਿੰਗ ਤੋਂ ਬਾਅਦ ਆਪਣੇ-ਆਪ ਮਿਟਾ ਦਿੱਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨHTTPS ਰਾਹੀਂ ਸੁਰੱਖਿਅਤ ਪ੍ਰੋਸੈਸ ਕੀਤਾ ਗਿਆ

JWT ਡੀਕੋਡਰ ਨਾਲ ਹੋ ਗਏ? ਹੁਣ ਇਹ ਅਜ਼ਮਾਓ

JWT ਡੀਕੋਡਰ ਨਾਲ ਵਧੀਆ ਮੇਲ ਖਾਂਦੇ ਚੋਣਵੇਂ ਟੂਲ। ਆਪਣੀ ਫਾਈਲ ਗੁਆਏ ਬਿਨਾਂ ਅੱਗੇ ਵਧਦੇ ਰਹੋ।

ਸਾਰੇ ਟੂਲ ਵੇਖੋ
Hi!SGkhIQ==

Base64 ਏਨਕੋਡਰ / ਡੀਕੋਡਰ

ਕਿਸੇ ਵੀ ਟੈਕਸਟ ਜਾਂ ਫਾਈਲ ਨੂੰ Base64 ਵਿੱਚ ਐਨਕੋਡ ਕਰੋ (URL-ਸੁਰੱਖਿਅਤ ਵੇਰੀਐਂਟ ਨਾਲ), ਜਾਂ Base64 ਨੂੰ ਮੁੜ ਟੈਕਸਟ ਵਿੱਚ ਡੀਕੋਡ ਕਰੋ। UTF-8 ਸੁਰੱਖਿਅਤ।

ਹੁਣੇ ਅਜ਼ਮਾਓ
abcSHA-256ba7816bf8f01cfea414140de

ਹੈਸ਼ ਜਨਰੇਟਰ

ਬ੍ਰਾਊਜ਼ਰ ਦੇ Web Crypto API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਿਸੇ ਵੀ ਟੈਕਸਟ ਜਾਂ ਫਾਈਲ ਦੇ SHA-1, SHA-256, SHA-384 ਅਤੇ SHA-512 hex ਡਾਇਜੈਸਟ ਗਣਨਾ ਕਰੋ।

ਹੁਣੇ ਅਜ਼ਮਾਓ
{"id": 7,"ok": true}

JSON ਪ੍ਰੈਟੀਫਾਈ

ਆਪਣੇ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ JSON ਨੂੰ ਫਾਰਮੈਟ, ਪ੍ਰਮਾਣਿਤ ਅਤੇ ਮਿਨੀਫ਼ਾਈ ਕਰੋ। 2 / 4 / 8 ਸਪੇਸ ਇੰਡੈਂਟ ਨਾਲ ਸੋਹਣਾ ਬਣਾਓ ਜਾਂ ਇੱਕ-ਲਾਈਨ ਵਿੱਚ ਮਿਨੀਫ਼ਾਈ ਕਰੋ, ਨਾਲ ਕਾਪੀ + ਡਾਊਨਲੋਡ।

ਹੁਣੇ ਅਜ਼ਮਾਓ
a%20b%3Dcpercent-encoded

URL ਐਨਕੋਡਰ / ਡੀਕੋਡਰ

URL ਦੇ ਹਿੱਸਿਆਂ ਜਾਂ ਪੂਰੇ URL ਨੂੰ ਪਰਸੈਂਟ-ਏਨਕੋਡ ਕਰੋ, ਅਤੇ ਉਨ੍ਹਾਂ ਨੂੰ ਵਾਪਸ ਡੀਕੋਡ ਕਰੋ। encodeURIComponent ਅਤੇ encodeURI ਮੋਡ।

ਹੁਣੇ ਅਜ਼ਮਾਓ
x9$Kf2

ਪਾਸਵਰਡ ਜਨਰੇਟਰ

ਲਾਈਵ ਐਂਟ੍ਰੋਪੀ ਅੰਦਾਜ਼ੇ ਨਾਲ 128 ਅੱਖਰਾਂ ਤੱਕ ਦੇ ਮਜ਼ਬੂਤ, ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤੌਰ 'ਤੇ ਬੇਤਰਤੀਬ ਪਾਸਵਰਡ ਤਿਆਰ ਕਰੋ।

ਹੁਣੇ ਅਜ਼ਮਾਓ
- old line+ new line shared+ added

ਡਿੱਫ ਚੈੱਕਰ

ਦੋ ਟੈਕਸਟ ਸਨਿੱਪਟਾਂ ਦੀ ਲਾਈਨ-ਦਰ-ਲਾਈਨ ਤੁਲਨਾ ਕਰੋ। ਸਪਲਿਟ ਜਾਂ ਯੂਨੀਫਾਈਡ ਵਿਊ, ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਵ੍ਹਾਈਟਸਪੇਸ ਅਤੇ ਅੱਖਰਾਂ ਦੇ ਆਕਾਰ ਨੂੰ ਅਣਡਿੱਠ ਕਰੋ।

ਹੁਣੇ ਅਜ਼ਮਾਓ

Frequently Asked Questions

ਐਨਕੋਡ ਕੀਤੇ JWT (ਲੰਮੀ eyJ… ਸਟ੍ਰਿੰਗ) ਨੂੰ ਇਨਪੁੱਟ ਬਾਕਸ ਵਿੱਚ ਪੇਸਟ ਕਰੋ। ਟੂਲ ਇਸ ਨੂੰ ਦੋ ਬਿੰਦੀਆਂ 'ਤੇ ਵੰਡਦਾ ਹੈ, ਹੈਡਰ ਅਤੇ ਪੇਲੋਡ ਨੂੰ Base64URL-ਡੀਕੋਡ ਕਰਦਾ ਹੈ, ਅਤੇ ਹਰੇਕ ਲਈ JSON ਦੇ ਨਾਲ-ਨਾਲ ਰਾਅ ਦਸਤਖ਼ਤ ਖੰਡ ਦਿਖਾਉਂਦਾ ਹੈ — ਉਹ ਵੀ ਕੋਈ ਨੈੱਟਵਰਕ ਬੇਨਤੀ ਕੀਤੇ ਬਿਨਾਂ।

usage

ਨਹੀਂ। ਡੀਕੋਡਰ ਸਿਰਫ਼ ਟੋਕਨ ਨੂੰ ਪਾਰਸ ਕਰਦਾ ਹੈ — ਇਹ ਦਸਤਖਤ ਦੀ ਕਿਸੇ ਭੇਦ ਜਾਂ ਪਬਲਿਕ ਕੁੰਜੀ ਨਾਲ ਜਾਂਚ ਨਹੀਂ ਕਰਦਾ, ਕਿਉਂਕਿ ਤਸਦੀਕ ਲਈ ਜਾਰੀਕਰਤਾ ਦੀ ਕੁੰਜੀ ਸਮੱਗਰੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਪ੍ਰੋਡਕਸ਼ਨ ਤਸਦੀਕ ਲਈ ਸਰਵਰ-ਸਾਈਡ JWT ਲਾਇਬ੍ਰੇਰੀ ਵਰਤੋ; ਇਹ ਟੂਲ ਨਿਰੀਖਣ ਅਤੇ ਡੀਬੱਗਿੰਗ ਲਈ ਹੈ।

technical

ਤੁਹਾਨੂੰ ਹੈਡਰ (ਐਲਗੋਰਿਦਮ ਅਤੇ ਕੀ id), ਪੇਲੋਡ ਕਲੇਮ (sub, iss, aud, iat, exp ਅਤੇ ਕੋਈ ਵੀ ਕਸਟਮ ਕਲੇਮ) ਅਤੇ ਕੱਚਾ ਸਿਗਨੇਚਰ ਮਿਲਦਾ ਹੈ। ਮਿਆਰੀ ਟਾਈਮਸਟੈਂਪ ਕਲੇਮ ਮਨੁੱਖ-ਪੜ੍ਹਨਯੋਗ ਤਾਰੀਖ਼ਾਂ ਵਜੋਂ ਫਾਰਮੈਟ ਹੁੰਦੇ ਹਨ ਤਾਂ ਜੋ ਤੁਸੀਂ ਪੁਰਾਣੇ ਟੋਕਨ ਇੱਕ ਨਜ਼ਰ ਵਿੱਚ ਪਛਾਣ ਸਕੋ।

features

ਜੇ ਪੇਲੋਡ ਵਿੱਚ ਮਿਆਰੀ "exp" ਕਲੇਮ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਟੂਲ ਇਸ ਦੀ ਮੌਜੂਦਾ ਸਮੇਂ ਨਾਲ ਤੁਲਨਾ ਕਰਦਾ ਹੈ ਅਤੇ ਸਹੀ ਟਾਈਮਸਟੈਂਪ ਨਾਲ ਜਾਂ ਤਾਂ "ਇਸ ਤੱਕ ਵੈਧ" ਜਾਂ "ਟੋਕਨ ਇਸ ਸਮੇਂ ਮਿਆਦ ਪੁੱਗ ਗਿਆ" ਦਿਖਾਉਂਦਾ ਹੈ। exp ਕਲੇਮ ਤੋਂ ਬਿਨਾਂ ਟੋਕਨਾਂ ਨੂੰ ਕੋਈ ਮਿਆਦ ਨਾ ਹੋਣ ਵਜੋਂ ਦੱਸਿਆ ਜਾਂਦਾ ਹੈ।

features

ਜੋ ਕੋਈ ਵੀ JWT ਦਾ ਪੇਅਲੋਡ ਪੜ੍ਹ ਲੈਂਦਾ ਹੈ, ਉਹ ਇਸ ਦੀ ਮਿਆਦ ਖ਼ਤਮ ਹੋਣ ਤੱਕ ਇਸ ਨੂੰ ਵਰਤ ਸਕਦਾ ਹੈ, ਇਸੇ ਕਰਕੇ ਪ੍ਰੋਡਕਸ਼ਨ ਟੋਕਨ ਨਿੱਜੀ ਟੂਲਾਂ ਵਿੱਚ ਹੀ ਰੱਖਣੇ ਚਾਹੀਦੇ ਹਨ। ਇਹ ਡੀਕੋਡਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਤੁਹਾਡੇ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ ਚੱਲਦਾ ਹੈ ਅਤੇ ਟੋਕਨ ਨੂੰ ਕਿਤੇ ਨਹੀਂ ਭੇਜਦਾ, ਪਰ ਸੁਰੱਖਿਅਤ ਨਿਯਮ ਇਹੀ ਹੈ ਕਿ ਜਦੋਂ ਵੀ ਸੰਭਵ ਹੋਵੇ ਥੋੜ੍ਹੇ ਸਮੇਂ ਵਾਲੇ ਡਿਵੈਲਪਮੈਂਟ ਟੋਕਨ ਹੀ ਡੀਕੋਡ ਕਰੋ।

privacy

ਇੱਕ JWT ਵਿੱਚ ਬਿੰਦੀਆਂ ਨਾਲ ਵੱਖ ਕੀਤੇ ਤਿੰਨ Base64URL-ਏਨਕੋਡ ਖੰਡ ਹੁੰਦੇ ਹਨ: ਹੈੱਡਰ (ਸਾਈਨਿੰਗ ਐਲਗੋਰਿਦਮ), ਪੇਲੋਡ (ਉਹ ਦਾਅਵੇ ਜੋ ਜਾਰੀਕਰਤਾ ਚਾਹੁੰਦਾ ਹੈ ਕਿ ਤਸਦੀਕਕਰਤਾ ਉਹਨਾਂ ਉੱਤੇ ਭਰੋਸਾ ਕਰੇ) ਅਤੇ ਸਿਗਨੇਚਰ (header.payload ਉੱਤੇ ਇੱਕ MAC ਜਾਂ ਡਿਜੀਟਲ ਸਿਗਨੇਚਰ)। ਡੀਕੋਡ ਕਰਨ ਲਈ ਕਦੇ ਕੁੰਜੀ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ — ਸਿਰਫ਼ ਤਸਦੀਕ ਲਈ ਹੁੰਦੀ ਹੈ।

technical

ਇੱਕ ਛੋਟਾ, URL-ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਜੋ ਤਿੰਨ Base64URL ਹਿੱਸਿਆਂ — ਹੈਡਰ, ਪੇਲੋਡ ਤੇ ਦਸਤਖ਼ਤ — ਤੋਂ ਬਣਿਆ ਹੁੰਦਾ ਹੈ ਜੋ ਯੂਜ਼ਰ ID ਤੇ ਮਿਆਦ-ਸਮਾਪਤੀ ਸਮੇਂ ਵਰਗੇ ਦਸਤਖ਼ਤ ਕੀਤੇ ਦਾਅਵੇ ਚੁੱਕਦਾ ਹੈ। ਇਹ ਸਟੇਟਲੈੱਸ ਲੌਗਇਨ ਸੈਸ਼ਨਾਂ ਤੇ API ਬੇਨਤੀਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਸਦਾ ਹੈਡਰ ਤੇ ਪੇਲੋਡ ਦੇਖਣ ਲਈ ਉੱਪਰ ਇੱਕ ਪੇਸਟ ਕਰੋ।

technical

ਡੀਕੋਡ ਕੀਤੇ ਹੈਡਰ ਅਤੇ ਪੇਲੋਡ ਹੇਠਾਂ, ਸਾਈਨਿੰਗ ਸੀਕਰੇਟ (HS256 ਲਈ) ਜਾਂ ਜਾਰੀਕਰਤਾ ਦੀ ਪਬਲਿਕ ਕੀ PEM ਜਾਂ JWK ਫਾਰਮੈਟ ਵਿੱਚ (RS256, ES256 ਅਤੇ ਸਮਾਨ ਲਈ) Verify signature ਬਾਕਸ ਵਿੱਚ ਪੇਸਟ ਕਰੋ, ਫਿਰ Verify 'ਤੇ ਕਲਿੱਕ ਕਰੋ। ਦਿਖਾਈ ਦੇਣ ਵਾਲਾ ਬੈਜ ਦੱਸਦਾ ਹੈ ਕਿ ਦਸਤਖ਼ਤ ਵੈਧ ਹਨ, ਅਵੈਧ ਹਨ, ਜਾਂ ਅਜਿਹਾ ਐਲਗੋਰਿਦਮ ਵਰਤਦੇ ਹਨ ਜਿਸਨੂੰ ਬ੍ਰਾਊਜ਼ਰ-ਸਾਈਡ ਵੈਰੀਫਾਇਰ ਸਪੋਰਟ ਨਹੀਂ ਕਰਦਾ — ਇਹ ਸਭ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਗਿਣਿਆ ਜਾਂਦਾ ਹੈ, ਬਿਨਾਂ ਟੋਕਨ ਜਾਂ ਕੀ ਕਿਤੇ ਵੀ ਭੇਜੇ।

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

OAuth ਅਤੇ OpenID Connect ਫਲੋਜ਼ ਨੂੰ ਡੀਬੱਗ ਕਰੋ

ਸਥਾਨਕ OAuth ਏਕੀਕਰਨ ਕੰਮ ਦੌਰਾਨ ਸਕੋਪ, ਆਡੀਅੰਸ ਅਤੇ ਇਸ਼ੂਅਰ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ Auth0, Okta, Cognito ਅਤੇ Azure AD ਵੱਲੋਂ ਵਾਪਸ ਕੀਤੇ ਐਕਸੈੱਸ ਟੋਕਨ ਅਤੇ ID ਟੋਕਨ ਨੂੰ ਡੀਕੋਡ ਕਰੋ

For Developers

API ਕਾਲਾਂ ਵਿੱਚ ਅਧਿਕਾਰ ਹੈਡਰਾਂ ਦੀ ਜਾਂਚ ਕਰੋ

ਬੈਕਐਂਡ ਟੀਮ ਨਾਲ ਟਿਕਟ ਖੋਲ੍ਹਣ ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਿ ਕੀ ਗਲਤ ਟੈਨੈਂਟ, ਰੋਲ ਜਾਂ ਮਿਆਦ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਕਿਸੇ ਅਸਫਲ ਹੋ ਰਹੀ API ਬੇਨਤੀ ਤੋਂ ਬੇਅਰਰ ਟੋਕਨ ਪੇਸਟ ਕਰੋ

For Developers

ਡਿਵੈਲਪਮੈਂਟ ਦੌਰਾਨ ਟੋਕਨ ਦੀ ਮਿਆਦ-ਸਮਾਪਤੀ ਦੀ ਜਾਂਚ ਕਰੋ

exp ਕਲੇਮ ਪੜ੍ਹ ਕੇ ਉਹ ਮਿਆਦ-ਪੁੱਗ ਚੁੱਕੇ ਟੋਕਨ ਪਛਾਣੋ ਜੋ ਚੁੱਪ-ਚਾਪ ਤੁਹਾਡੇ ਸਟੇਜਿੰਗ ਮਾਹੌਲ ਨੂੰ ਖਰਾਬ ਕਰ ਰਹੇ ਹਨ — ਟੋਕਨ ਨੂੰ ਟਰਮੀਨਲ ਵਿੱਚ ਕਾਪੀ ਕਰਨ ਜਾਂ ਕੋਈ ਝਟਪਟ ਸਕ੍ਰਿਪਟ ਲਿਖਣ ਦੀ ਲੋੜ ਨਹੀਂ

For Business

ਟੋਕਨ ਕਲੇਮਾਂ ਵਿੱਚ ਏਨਕੋਡ ਕੀਤੀਆਂ ਇਜਾਜ਼ਤਾਂ ਦਾ ਆਡਿਟ ਕਰੋ

ਰੋਲ, ਟੈਨੈਂਟ ਅਤੇ ਫੀਚਰ ਫਲੈਗ ਵਰਗੇ ਕਸਟਮ ਕਲੇਮਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ ਤਾਂ ਜੋ ਐਡਮਿਨ ਇਹ ਯਕੀਨੀ ਬਣਾ ਸਕਣ ਕਿ ਗਾਹਕ ਦਾ ਟੋਕਨ ਠੀਕ-ਠੀਕ ਉਹੀ ਪਹੁੰਚ ਦਿੰਦਾ ਹੈ ਜੋ ਲਾਇਸੈਂਸ ਟੀਮ ਨੇ ਦੇਣੀ ਚਾਹੀ ਸੀ

For Business

ਸਿੰਗਲ ਸਾਈਨ-ਆਨ ਏਕੀਕਰਨ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ

ਸਾਰੇ ਕਰਮਚਾਰੀਆਂ ਤੱਕ ਪਹੁੰਚਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਗਰੁੱਪ ਮੈਂਬਰਸ਼ਿਪਾਂ ਅਤੇ ਐਟ੍ਰੀਬਿਊਟ ਮੈਪਿੰਗਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਐਂਟਰਪ੍ਰਾਈਜ਼ SSO ਏਕੀਕਰਨ ਵੱਲੋਂ ਤਿਆਰ ਕੀਤੇ SAML ਅਤੇ OIDC ਟੋਕਨਾਂ ਦੀ ਜਾਂਚ ਕਰੋ

Education

ਟੋਕਨ-ਆਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਸਿਖਾਓ

ਬੂਟਕੈਂਪ ਵਿਦਿਆਰਥੀਆਂ, ਜੂਨੀਅਰ ਇੰਜੀਨੀਅਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਵਰਕਸ਼ਾਪ ਦੇ ਹਾਜ਼ਰੀਨ ਨੂੰ ਇਹ ਸਮਝਾਉਣ ਲਈ ਕਿ JWT ਕਿਵੇਂ ਬਣਤਰ ਵਿੱਚ ਹਨ, ਡੀਕੋਡ ਕੀਤੇ ਹੈਡਰ, ਪੇਲੋਡ ਅਤੇ ਸਿਗਨੇਚਰ ਪੇਨ ਵਰਤੋ

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.