JWT-avkodare – Avkoda JSON Web Tokens och kontrollera utgång online

Klistra in valfri JSON Web Token för att direkt avkoda dess header och payload, visa signaturen och kontrollera om den har gått ut. Körs lokalt – dina tokens lämnar aldrig din webbläsare.

Kodad JWT

Decode and verify entirely in your browser — nothing is uploaded.

Filer raderas automatiskt efter bearbetningBearbetas säkert över HTTPS

Frequently Asked Questions

Klistra in den kodade JWT:n (den långa eyJ…-strängen) i inmatningsrutan. Verktyget delar upp den vid de två punkterna, Base64URL-avkodar headern och payloaden och visar JSON för var och en plus det råa signatursegmentet – allt utan att göra någon nätverksförfrågan.

usage

Nej. Avkodaren tolkar bara token — den kontrollerar inte signaturen mot en hemlig eller offentlig nyckel, eftersom verifiering kräver utfärdarens nyckelmaterial. Använd ett JWT-bibliotek på serversidan för verifiering i produktion; det här verktyget är till för inspektion och felsökning.

technical

Du får headern (algoritm och nyckel-id), payload-anspråken (sub, iss, aud, iat, exp och eventuella anpassade anspråk) och den råa signaturen. Standardanspråk med tidsstämplar formateras som läsbara datum så att du snabbt kan upptäcka utgångna tokens.

features

Om nyttolasten innehåller standardanspråket "exp" jämför verktyget det med aktuell tid och visar antingen "Giltig till" eller "Token upphörde att gälla" med den exakta tidsstämpeln. Tokens utan exp-anspråk rapporteras som att de inte har någon utgångstid.

features

Vem som helst som läser nyttolasten i en JWT kan använda den tills den löper ut, så produktionstokens hör hemma i privata verktyg. Den här avkodaren körs helt i din webbläsare och överför aldrig token, men den säkrare regeln är att avkoda kortlivade utvecklingstokens när det är möjligt.

privacy

En JWT har tre Base64URL-kodade segment åtskilda av punkter: header (signeringsalgoritm), payload (de claims som utfärdaren vill att verifieraren ska lita på) och signatur (en MAC eller digital signatur över header.payload). Avkodning kräver aldrig en nyckel – det gör bara verifiering.

technical

En kompakt, URL-säker token som består av tre Base64URL-segment — header, payload och signatur — som bär signerade anspråk som ett användar-ID och en utgångstid. Den används flitigt för tillståndslösa inloggningssessioner och för att säkra API-förfrågningar. Klistra in en ovan för att granska dess header och payload.

technical

Under den avkodade huvuddelen och nyttolasten klistrar du in signeringshemligheten (för HS256) eller utfärdarens publika nyckel i PEM- eller JWK-format (för RS256, ES256 och liknande) i rutan Verifiera signatur, och klickar sedan på Verifiera. Märket som visas anger om signaturen är giltig, ogiltig, eller använder en algoritm som verifieraren i webbläsaren inte stöder — allt beräknas lokalt, utan att skicka token eller nyckel någonstans.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Felsök OAuth- och OpenID Connect-flöden

Avkoda åtkomsttokens och ID-tokens som returneras av Auth0, Okta, Cognito och Azure AD för att verifiera scopes, audiences och issuers under lokalt OAuth-integrationsarbete

For Developers

Granska auktoriseringsheaders i API-anrop

Klistra in bearer-token från en misslyckad API-förfrågan för att bekräfta om fel tenant, roll eller utgångstid är orsaken innan du öppnar ett ärende hos backend-teamet

For Developers

Kontrollera tokens giltighetstid under utveckling

Upptäck utgångna tokens som tyst stör din staging-miljö genom att läsa exp-anspråket – du behöver inte kopiera in token i en terminal eller skriva ett snabbt skript

For Business

Granska behörigheter kodade i token-claims

Verifiera anpassade claims som roller, tenants och funktionsflaggor så att administratörer kan bekräfta att en kunds token ger exakt den åtkomst som licensteamet avsett

For Business

Validera Single Sign-On-integrationer

Granska SAML- och OIDC-tokens som genereras av SSO-integrationer i företag för att bekräfta gruppmedlemskap och attributmappningar innan du lanserar för alla anställda

Education

Lär ut tokenbaserad autentisering

Använd panelerna med avkodat sidhuvud, nyttolast och signatur för att förklara hur JWT är uppbyggda för bootcamp-studenter, juniora ingenjörer och deltagare i säkerhetsworkshops

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.