JWT-avkodare – Avkoda JSON Web Tokens och kontrollera utgång online

Klistra in den kodade JWT:n (den långa eyJ…-strängen) i inmatningsrutan. Verktyget delar upp den vid de två punkterna, Base64URL-avkodar headern och payloaden och visar JSON för var och en plus det råa signatursegmentet – allt utan att göra någon nätverksförfrågan.

Nej. Avkodaren tolkar bara token — den kontrollerar inte signaturen mot en hemlig eller offentlig nyckel, eftersom verifiering kräver utfärdarens nyckelmaterial. Använd ett JWT-bibliotek på serversidan för verifiering i produktion; det här verktyget är till för inspektion och felsökning.

Du får headern (algoritm och nyckel-id), payload-anspråken (sub, iss, aud, iat, exp och eventuella anpassade anspråk) och den råa signaturen. Standardanspråk med tidsstämplar formateras som läsbara datum så att du snabbt kan upptäcka utgångna tokens.

Om nyttolasten innehåller standardanspråket "exp" jämför verktyget det med aktuell tid och visar antingen "Giltig till" eller "Token upphörde att gälla" med den exakta tidsstämpeln. Tokens utan exp-anspråk rapporteras som att de inte har någon utgångstid.

Vem som helst som läser nyttolasten i en JWT kan använda den tills den löper ut, så produktionstokens hör hemma i privata verktyg. Den här avkodaren körs helt i din webbläsare och överför aldrig token, men den säkrare regeln är att avkoda kortlivade utvecklingstokens när det är möjligt.

En JWT har tre Base64URL-kodade segment åtskilda av punkter: header (signeringsalgoritm), payload (de claims som utfärdaren vill att verifieraren ska lita på) och signatur (en MAC eller digital signatur över header.payload). Avkodning kräver aldrig en nyckel – det gör bara verifiering.