How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

JWT-avkodare – Avkoda JSON-webbtokens och checkutgång online

Klistra in vilken JSON Web Token som helst för att omedelbart avkoda dess header och payload, titta på signaturen och kontrollera om den har gått ut. Körs lokalt — dina tokens lämnar aldrig din webbläsare.

Kodad JWT

Detta verktyg avkodar endast token — det verifierar inte signaturen mot en hemlig eller publik nyckel. Alla med token kan läsa dess last, så lägg aldrig hemligheter i en JWT.

Om JSON Web Tokens

En JWT har tre Base64URL-kodade segment separerade av prickar: header, payload och signatur. Headern beskriver signeringsalgoritmen, payloaden bär krav (som sub, iat, exp), och signaturen låter en server verifiera att token inte har manipulerats. Avkodning kräver aldrig en hemlighet.

Fortsätt att förbättra dina bilder

Ta din fotoredigering till nästa nivå med dessa populära verktyg

📝

Lägg till text i bilden

Lägga till bildtexter och titlar till ditt förbättrade foto

🖼️

Lägg till fotoram

Rama in din effekt med vackra ramar

🗜️

Komprimera bild

Optimera din förbättrade bild för delning

📐

Ändra storlek på bild

Ändra bildens mått

📝

Lägg till text i bilden

Lägga till bildtexter och titlar till ditt förbättrade foto

Prova nu

🖼️

Lägg till fotoram

Rama in din effekt med vackra ramar

Prova nu

🗜️

Komprimera bild

Optimera din förbättrade bild för delning

Prova nu

📐

Ändra storlek på bild

Ändra bildens mått

Prova nu

🎨

Foto till tecknad film

Prova en annan konstnärlig stil

Prova nu

✏️

blyertspenna skiss

Skapa konstnärliga blyertsteckningar

Prova nu

Utforska alla fotoverktyg

Frequently Asked Questions

Klistra in den kodade JWT (den långa eyJ... sträng) i inmatningsboxen. Verktyget delar upp det på två punkter, Base64URL-avkodar headern och nyttolasten, och visar JSON för varje plus det råa signatursegmentet — allt utan att göra någon nätverksförfrågan.

usage

Nej. Dekodern tolkar endast token — den kontrollerar inte signaturen mot en hemlig eller publik nyckel, eftersom verifiering kräver utgivarens nyckelmaterial. Använd ett server-sida JWT-bibliotek för produktionsverifiering; Detta verktyg är till för inspektion och felsökning.

technical

Du får headern (algoritmen och nyckel-id), payload-anspråken (sub, iss, aud, iat, exp och eventuella anpassade anspråk) och råsignaturen. Standardtidsstämpelpåståenden är utformade som människoläsbara datum så att du kan se föråldrade tokens direkt.

features

Om nyttolasten innehåller det vanliga "exp"-påståendet jämför verktyget det med aktuell tid och visar antingen "Giltigt till" eller "Token utgången at" med exakt tidsstämpel. Tokens utan exp-anspråk rapporteras som utan utgång.

features

Alla som läser nyttolasten från en JWT kan använda den tills den går ut, så produktionstokens hör hemma i privata verktyg. Denna avkodare körs helt i din webbläsare och överför aldrig tokenen, men den säkrare regeln är att avkoda kortlivade utvecklingstokens när det är möjligt.

privacy

En JWT har tre Base64URL-kodade segment separerade av prickar: header (signeringsalgoritm), payload (påståenden som utgivaren vill att verifieraren ska lita på) och signatur (en MAC- eller digital signatur över header.payload). Avkodning behöver aldrig en nyckel – bara verifiering gör det.

technical

Use Cases

Felsök OAuth och OpenID Connect flöden

Avkoda åtkomsttokens och ID-tokens som returneras av Auth0, Okta, Cognito och Azure AD för att verifiera scopes, audiences och utfärdare under lokal OAuth-integration

technical

Inspektera auktorisationshuvuden i API-anrop

Klistra in bärartoken från en misslyckad API-förfrågan för att bekräfta om fel hyresgäst, roll eller utgångspunkt är orsaken innan du öppnar ett ärende hos backend-teamet

technical

Checktokens utgång under utveckling

Upptäck utgångna tokens som tyst bryter din staging-miljö genom att läsa exp-kravet – du behöver inte kopiera tokenen till en terminal eller skriva ett snabbt skript

technical

Revisionsbehörigheter kodade i token-krav

Verifiera anpassade krav som roller, hyresgäster och funktionsflaggor så att administratörer kan bekräfta att en kunds token ger exakt den åtkomst som licensteamet avsett

business

Validera Single Sign-On-integrationer

Inspektera SAML- och OIDC-tokens som produceras av företags SSO-integrationer för att bekräfta gruppmedlemskap och attributmappningar innan du rullar ut till alla anställda

business

Teach tokenbaserad autentisering

Använd den avkodade headern, nyttolasten och signaturrutorna för att förklara hur JWT:er är strukturerade för bootcamp-studenter, junioringenjörer och säkerhetsworkshopdeltagare

educational