JWT ਡੀਕੋਡਰ - ਆਨਲਾਈਨ JSON Web Token ਡੀਕੋਡ ਕਰੋ ਅਤੇ ਮਿਆਦ ਜਾਂਚੋ
ਕਿਸੇ ਵੀ JSON Web Token ਨੂੰ ਪੇਸਟ ਕਰੋ ਤਾਂ ਜੋ ਇਸ ਦੇ ਹੈਡਰ ਅਤੇ ਪੇਲੋਡ ਨੂੰ ਤੁਰੰਤ ਡੀਕੋਡ ਕਰੋ, ਦਸਤਖ਼ਤ ਦੇਖੋ, ਅਤੇ ਜਾਂਚ ਕਰੋ ਕਿ ਕੀ ਇਹ ਮਿਆਦ ਪੁੱਗ ਚੁੱਕਾ ਹੈ। ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਚੱਲਦਾ ਹੈ — ਤੁਹਾਡੇ ਟੋਕਨ ਕਦੇ ਵੀ ਤੁਹਾਡੇ ਬ੍ਰਾਊਜ਼ਰ ਤੋਂ ਬਾਹਰ ਨਹੀਂ ਜਾਂਦੇ।
Decode and verify entirely in your browser — nothing is uploaded.
JWT ਡੀਕੋਡਰ ਨਾਲ ਹੋ ਗਏ? ਹੁਣ ਇਹ ਅਜ਼ਮਾਓ
JWT ਡੀਕੋਡਰ ਨਾਲ ਵਧੀਆ ਮੇਲ ਖਾਂਦੇ ਚੋਣਵੇਂ ਟੂਲ। ਆਪਣੀ ਫਾਈਲ ਗੁਆਏ ਬਿਨਾਂ ਅੱਗੇ ਵਧਦੇ ਰਹੋ।
Base64 ਏਨਕੋਡਰ / ਡੀਕੋਡਰ
ਕਿਸੇ ਵੀ ਟੈਕਸਟ ਜਾਂ ਫਾਈਲ ਨੂੰ Base64 ਵਿੱਚ ਐਨਕੋਡ ਕਰੋ (URL-ਸੁਰੱਖਿਅਤ ਵੇਰੀਐਂਟ ਨਾਲ), ਜਾਂ Base64 ਨੂੰ ਮੁੜ ਟੈਕਸਟ ਵਿੱਚ ਡੀਕੋਡ ਕਰੋ। UTF-8 ਸੁਰੱਖਿਅਤ।
ਹੁਣੇ ਅਜ਼ਮਾਓਹੈਸ਼ ਜਨਰੇਟਰ
ਬ੍ਰਾਊਜ਼ਰ ਦੇ Web Crypto API ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਕਿਸੇ ਵੀ ਟੈਕਸਟ ਜਾਂ ਫਾਈਲ ਦੇ SHA-1, SHA-256, SHA-384 ਅਤੇ SHA-512 hex ਡਾਇਜੈਸਟ ਗਣਨਾ ਕਰੋ।
ਹੁਣੇ ਅਜ਼ਮਾਓJSON ਪ੍ਰੈਟੀਫਾਈ
ਆਪਣੇ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ JSON ਨੂੰ ਫਾਰਮੈਟ, ਪ੍ਰਮਾਣਿਤ ਅਤੇ ਮਿਨੀਫ਼ਾਈ ਕਰੋ। 2 / 4 / 8 ਸਪੇਸ ਇੰਡੈਂਟ ਨਾਲ ਸੋਹਣਾ ਬਣਾਓ ਜਾਂ ਇੱਕ-ਲਾਈਨ ਵਿੱਚ ਮਿਨੀਫ਼ਾਈ ਕਰੋ, ਨਾਲ ਕਾਪੀ + ਡਾਊਨਲੋਡ।
ਹੁਣੇ ਅਜ਼ਮਾਓURL ਐਨਕੋਡਰ / ਡੀਕੋਡਰ
URL ਦੇ ਹਿੱਸਿਆਂ ਜਾਂ ਪੂਰੇ URL ਨੂੰ ਪਰਸੈਂਟ-ਏਨਕੋਡ ਕਰੋ, ਅਤੇ ਉਨ੍ਹਾਂ ਨੂੰ ਵਾਪਸ ਡੀਕੋਡ ਕਰੋ। encodeURIComponent ਅਤੇ encodeURI ਮੋਡ।
ਹੁਣੇ ਅਜ਼ਮਾਓਪਾਸਵਰਡ ਜਨਰੇਟਰ
ਲਾਈਵ ਐਂਟ੍ਰੋਪੀ ਅੰਦਾਜ਼ੇ ਨਾਲ 128 ਅੱਖਰਾਂ ਤੱਕ ਦੇ ਮਜ਼ਬੂਤ, ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਤੌਰ 'ਤੇ ਬੇਤਰਤੀਬ ਪਾਸਵਰਡ ਤਿਆਰ ਕਰੋ।
ਹੁਣੇ ਅਜ਼ਮਾਓਡਿੱਫ ਚੈੱਕਰ
ਦੋ ਟੈਕਸਟ ਸਨਿੱਪਟਾਂ ਦੀ ਲਾਈਨ-ਦਰ-ਲਾਈਨ ਤੁਲਨਾ ਕਰੋ। ਸਪਲਿਟ ਜਾਂ ਯੂਨੀਫਾਈਡ ਵਿਊ, ਵਿਕਲਪਿਕ ਤੌਰ 'ਤੇ ਵ੍ਹਾਈਟਸਪੇਸ ਅਤੇ ਅੱਖਰਾਂ ਦੇ ਆਕਾਰ ਨੂੰ ਅਣਡਿੱਠ ਕਰੋ।
ਹੁਣੇ ਅਜ਼ਮਾਓFrequently Asked Questions
ਐਨਕੋਡ ਕੀਤੇ JWT (ਲੰਮੀ eyJ… ਸਟ੍ਰਿੰਗ) ਨੂੰ ਇਨਪੁੱਟ ਬਾਕਸ ਵਿੱਚ ਪੇਸਟ ਕਰੋ। ਟੂਲ ਇਸ ਨੂੰ ਦੋ ਬਿੰਦੀਆਂ 'ਤੇ ਵੰਡਦਾ ਹੈ, ਹੈਡਰ ਅਤੇ ਪੇਲੋਡ ਨੂੰ Base64URL-ਡੀਕੋਡ ਕਰਦਾ ਹੈ, ਅਤੇ ਹਰੇਕ ਲਈ JSON ਦੇ ਨਾਲ-ਨਾਲ ਰਾਅ ਦਸਤਖ਼ਤ ਖੰਡ ਦਿਖਾਉਂਦਾ ਹੈ — ਉਹ ਵੀ ਕੋਈ ਨੈੱਟਵਰਕ ਬੇਨਤੀ ਕੀਤੇ ਬਿਨਾਂ।
usageਨਹੀਂ। ਡੀਕੋਡਰ ਸਿਰਫ਼ ਟੋਕਨ ਨੂੰ ਪਾਰਸ ਕਰਦਾ ਹੈ — ਇਹ ਦਸਤਖਤ ਦੀ ਕਿਸੇ ਭੇਦ ਜਾਂ ਪਬਲਿਕ ਕੁੰਜੀ ਨਾਲ ਜਾਂਚ ਨਹੀਂ ਕਰਦਾ, ਕਿਉਂਕਿ ਤਸਦੀਕ ਲਈ ਜਾਰੀਕਰਤਾ ਦੀ ਕੁੰਜੀ ਸਮੱਗਰੀ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਪ੍ਰੋਡਕਸ਼ਨ ਤਸਦੀਕ ਲਈ ਸਰਵਰ-ਸਾਈਡ JWT ਲਾਇਬ੍ਰੇਰੀ ਵਰਤੋ; ਇਹ ਟੂਲ ਨਿਰੀਖਣ ਅਤੇ ਡੀਬੱਗਿੰਗ ਲਈ ਹੈ।
technicalਤੁਹਾਨੂੰ ਹੈਡਰ (ਐਲਗੋਰਿਦਮ ਅਤੇ ਕੀ id), ਪੇਲੋਡ ਕਲੇਮ (sub, iss, aud, iat, exp ਅਤੇ ਕੋਈ ਵੀ ਕਸਟਮ ਕਲੇਮ) ਅਤੇ ਕੱਚਾ ਸਿਗਨੇਚਰ ਮਿਲਦਾ ਹੈ। ਮਿਆਰੀ ਟਾਈਮਸਟੈਂਪ ਕਲੇਮ ਮਨੁੱਖ-ਪੜ੍ਹਨਯੋਗ ਤਾਰੀਖ਼ਾਂ ਵਜੋਂ ਫਾਰਮੈਟ ਹੁੰਦੇ ਹਨ ਤਾਂ ਜੋ ਤੁਸੀਂ ਪੁਰਾਣੇ ਟੋਕਨ ਇੱਕ ਨਜ਼ਰ ਵਿੱਚ ਪਛਾਣ ਸਕੋ।
featuresਜੇ ਪੇਲੋਡ ਵਿੱਚ ਮਿਆਰੀ "exp" ਕਲੇਮ ਹੁੰਦਾ ਹੈ, ਤਾਂ ਟੂਲ ਇਸ ਦੀ ਮੌਜੂਦਾ ਸਮੇਂ ਨਾਲ ਤੁਲਨਾ ਕਰਦਾ ਹੈ ਅਤੇ ਸਹੀ ਟਾਈਮਸਟੈਂਪ ਨਾਲ ਜਾਂ ਤਾਂ "ਇਸ ਤੱਕ ਵੈਧ" ਜਾਂ "ਟੋਕਨ ਇਸ ਸਮੇਂ ਮਿਆਦ ਪੁੱਗ ਗਿਆ" ਦਿਖਾਉਂਦਾ ਹੈ। exp ਕਲੇਮ ਤੋਂ ਬਿਨਾਂ ਟੋਕਨਾਂ ਨੂੰ ਕੋਈ ਮਿਆਦ ਨਾ ਹੋਣ ਵਜੋਂ ਦੱਸਿਆ ਜਾਂਦਾ ਹੈ।
featuresਜੋ ਕੋਈ ਵੀ JWT ਦਾ ਪੇਅਲੋਡ ਪੜ੍ਹ ਲੈਂਦਾ ਹੈ, ਉਹ ਇਸ ਦੀ ਮਿਆਦ ਖ਼ਤਮ ਹੋਣ ਤੱਕ ਇਸ ਨੂੰ ਵਰਤ ਸਕਦਾ ਹੈ, ਇਸੇ ਕਰਕੇ ਪ੍ਰੋਡਕਸ਼ਨ ਟੋਕਨ ਨਿੱਜੀ ਟੂਲਾਂ ਵਿੱਚ ਹੀ ਰੱਖਣੇ ਚਾਹੀਦੇ ਹਨ। ਇਹ ਡੀਕੋਡਰ ਪੂਰੀ ਤਰ੍ਹਾਂ ਤੁਹਾਡੇ ਬ੍ਰਾਊਜ਼ਰ ਵਿੱਚ ਚੱਲਦਾ ਹੈ ਅਤੇ ਟੋਕਨ ਨੂੰ ਕਿਤੇ ਨਹੀਂ ਭੇਜਦਾ, ਪਰ ਸੁਰੱਖਿਅਤ ਨਿਯਮ ਇਹੀ ਹੈ ਕਿ ਜਦੋਂ ਵੀ ਸੰਭਵ ਹੋਵੇ ਥੋੜ੍ਹੇ ਸਮੇਂ ਵਾਲੇ ਡਿਵੈਲਪਮੈਂਟ ਟੋਕਨ ਹੀ ਡੀਕੋਡ ਕਰੋ।
privacyਇੱਕ JWT ਵਿੱਚ ਬਿੰਦੀਆਂ ਨਾਲ ਵੱਖ ਕੀਤੇ ਤਿੰਨ Base64URL-ਏਨਕੋਡ ਖੰਡ ਹੁੰਦੇ ਹਨ: ਹੈੱਡਰ (ਸਾਈਨਿੰਗ ਐਲਗੋਰਿਦਮ), ਪੇਲੋਡ (ਉਹ ਦਾਅਵੇ ਜੋ ਜਾਰੀਕਰਤਾ ਚਾਹੁੰਦਾ ਹੈ ਕਿ ਤਸਦੀਕਕਰਤਾ ਉਹਨਾਂ ਉੱਤੇ ਭਰੋਸਾ ਕਰੇ) ਅਤੇ ਸਿਗਨੇਚਰ (header.payload ਉੱਤੇ ਇੱਕ MAC ਜਾਂ ਡਿਜੀਟਲ ਸਿਗਨੇਚਰ)। ਡੀਕੋਡ ਕਰਨ ਲਈ ਕਦੇ ਕੁੰਜੀ ਦੀ ਲੋੜ ਨਹੀਂ ਹੁੰਦੀ — ਸਿਰਫ਼ ਤਸਦੀਕ ਲਈ ਹੁੰਦੀ ਹੈ।
technicalਇੱਕ ਛੋਟਾ, URL-ਸੁਰੱਖਿਅਤ ਟੋਕਨ ਜੋ ਤਿੰਨ Base64URL ਹਿੱਸਿਆਂ — ਹੈਡਰ, ਪੇਲੋਡ ਤੇ ਦਸਤਖ਼ਤ — ਤੋਂ ਬਣਿਆ ਹੁੰਦਾ ਹੈ ਜੋ ਯੂਜ਼ਰ ID ਤੇ ਮਿਆਦ-ਸਮਾਪਤੀ ਸਮੇਂ ਵਰਗੇ ਦਸਤਖ਼ਤ ਕੀਤੇ ਦਾਅਵੇ ਚੁੱਕਦਾ ਹੈ। ਇਹ ਸਟੇਟਲੈੱਸ ਲੌਗਇਨ ਸੈਸ਼ਨਾਂ ਤੇ API ਬੇਨਤੀਆਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਇਸਦਾ ਹੈਡਰ ਤੇ ਪੇਲੋਡ ਦੇਖਣ ਲਈ ਉੱਪਰ ਇੱਕ ਪੇਸਟ ਕਰੋ।
technicalਡੀਕੋਡ ਕੀਤੇ ਹੈਡਰ ਅਤੇ ਪੇਲੋਡ ਹੇਠਾਂ, ਸਾਈਨਿੰਗ ਸੀਕਰੇਟ (HS256 ਲਈ) ਜਾਂ ਜਾਰੀਕਰਤਾ ਦੀ ਪਬਲਿਕ ਕੀ PEM ਜਾਂ JWK ਫਾਰਮੈਟ ਵਿੱਚ (RS256, ES256 ਅਤੇ ਸਮਾਨ ਲਈ) Verify signature ਬਾਕਸ ਵਿੱਚ ਪੇਸਟ ਕਰੋ, ਫਿਰ Verify 'ਤੇ ਕਲਿੱਕ ਕਰੋ। ਦਿਖਾਈ ਦੇਣ ਵਾਲਾ ਬੈਜ ਦੱਸਦਾ ਹੈ ਕਿ ਦਸਤਖ਼ਤ ਵੈਧ ਹਨ, ਅਵੈਧ ਹਨ, ਜਾਂ ਅਜਿਹਾ ਐਲਗੋਰਿਦਮ ਵਰਤਦੇ ਹਨ ਜਿਸਨੂੰ ਬ੍ਰਾਊਜ਼ਰ-ਸਾਈਡ ਵੈਰੀਫਾਇਰ ਸਪੋਰਟ ਨਹੀਂ ਕਰਦਾ — ਇਹ ਸਭ ਸਥਾਨਕ ਤੌਰ 'ਤੇ ਗਿਣਿਆ ਜਾਂਦਾ ਹੈ, ਬਿਨਾਂ ਟੋਕਨ ਜਾਂ ਕੀ ਕਿਤੇ ਵੀ ਭੇਜੇ।
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
OAuth ਅਤੇ OpenID Connect ਫਲੋਜ਼ ਨੂੰ ਡੀਬੱਗ ਕਰੋ
ਸਥਾਨਕ OAuth ਏਕੀਕਰਨ ਕੰਮ ਦੌਰਾਨ ਸਕੋਪ, ਆਡੀਅੰਸ ਅਤੇ ਇਸ਼ੂਅਰ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ Auth0, Okta, Cognito ਅਤੇ Azure AD ਵੱਲੋਂ ਵਾਪਸ ਕੀਤੇ ਐਕਸੈੱਸ ਟੋਕਨ ਅਤੇ ID ਟੋਕਨ ਨੂੰ ਡੀਕੋਡ ਕਰੋ
API ਕਾਲਾਂ ਵਿੱਚ ਅਧਿਕਾਰ ਹੈਡਰਾਂ ਦੀ ਜਾਂਚ ਕਰੋ
ਬੈਕਐਂਡ ਟੀਮ ਨਾਲ ਟਿਕਟ ਖੋਲ੍ਹਣ ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਕਿ ਕੀ ਗਲਤ ਟੈਨੈਂਟ, ਰੋਲ ਜਾਂ ਮਿਆਦ ਜ਼ਿੰਮੇਵਾਰ ਹੈ, ਕਿਸੇ ਅਸਫਲ ਹੋ ਰਹੀ API ਬੇਨਤੀ ਤੋਂ ਬੇਅਰਰ ਟੋਕਨ ਪੇਸਟ ਕਰੋ
ਡਿਵੈਲਪਮੈਂਟ ਦੌਰਾਨ ਟੋਕਨ ਦੀ ਮਿਆਦ-ਸਮਾਪਤੀ ਦੀ ਜਾਂਚ ਕਰੋ
exp ਕਲੇਮ ਪੜ੍ਹ ਕੇ ਉਹ ਮਿਆਦ-ਪੁੱਗ ਚੁੱਕੇ ਟੋਕਨ ਪਛਾਣੋ ਜੋ ਚੁੱਪ-ਚਾਪ ਤੁਹਾਡੇ ਸਟੇਜਿੰਗ ਮਾਹੌਲ ਨੂੰ ਖਰਾਬ ਕਰ ਰਹੇ ਹਨ — ਟੋਕਨ ਨੂੰ ਟਰਮੀਨਲ ਵਿੱਚ ਕਾਪੀ ਕਰਨ ਜਾਂ ਕੋਈ ਝਟਪਟ ਸਕ੍ਰਿਪਟ ਲਿਖਣ ਦੀ ਲੋੜ ਨਹੀਂ
ਟੋਕਨ ਕਲੇਮਾਂ ਵਿੱਚ ਏਨਕੋਡ ਕੀਤੀਆਂ ਇਜਾਜ਼ਤਾਂ ਦਾ ਆਡਿਟ ਕਰੋ
ਰੋਲ, ਟੈਨੈਂਟ ਅਤੇ ਫੀਚਰ ਫਲੈਗ ਵਰਗੇ ਕਸਟਮ ਕਲੇਮਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ ਤਾਂ ਜੋ ਐਡਮਿਨ ਇਹ ਯਕੀਨੀ ਬਣਾ ਸਕਣ ਕਿ ਗਾਹਕ ਦਾ ਟੋਕਨ ਠੀਕ-ਠੀਕ ਉਹੀ ਪਹੁੰਚ ਦਿੰਦਾ ਹੈ ਜੋ ਲਾਇਸੈਂਸ ਟੀਮ ਨੇ ਦੇਣੀ ਚਾਹੀ ਸੀ
ਸਿੰਗਲ ਸਾਈਨ-ਆਨ ਏਕੀਕਰਨ ਦੀ ਪੁਸ਼ਟੀ ਕਰੋ
ਸਾਰੇ ਕਰਮਚਾਰੀਆਂ ਤੱਕ ਪਹੁੰਚਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਗਰੁੱਪ ਮੈਂਬਰਸ਼ਿਪਾਂ ਅਤੇ ਐਟ੍ਰੀਬਿਊਟ ਮੈਪਿੰਗਾਂ ਦੀ ਪੁਸ਼ਟੀ ਕਰਨ ਲਈ ਐਂਟਰਪ੍ਰਾਈਜ਼ SSO ਏਕੀਕਰਨ ਵੱਲੋਂ ਤਿਆਰ ਕੀਤੇ SAML ਅਤੇ OIDC ਟੋਕਨਾਂ ਦੀ ਜਾਂਚ ਕਰੋ
ਟੋਕਨ-ਆਧਾਰਿਤ ਪ੍ਰਮਾਣਿਕਤਾ ਸਿਖਾਓ
ਬੂਟਕੈਂਪ ਵਿਦਿਆਰਥੀਆਂ, ਜੂਨੀਅਰ ਇੰਜੀਨੀਅਰਾਂ ਅਤੇ ਸੁਰੱਖਿਆ ਵਰਕਸ਼ਾਪ ਦੇ ਹਾਜ਼ਰੀਨ ਨੂੰ ਇਹ ਸਮਝਾਉਣ ਲਈ ਕਿ JWT ਕਿਵੇਂ ਬਣਤਰ ਵਿੱਚ ਹਨ, ਡੀਕੋਡ ਕੀਤੇ ਹੈਡਰ, ਪੇਲੋਡ ਅਤੇ ਸਿਗਨੇਚਰ ਪੇਨ ਵਰਤੋ
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate