Afkod et JSON Web Token for at inspicere dets header og payload, med læselige udløbs- og udstedelsestidspunkter. Kører helt i din browser; tokens uploades aldrig.
Sådan bruger du JWT-dekoder
Indsæt et JWT i formen header.payload.signatur.
Læs den afkodede header og payload som formateret JSON.
Tjek udløbs- og udstedelsestidspunkterne, og om tokenet er udløbet.
En JSON Web Token har tre dele adskilt af punktummer: en Base64URL-kodet header, en Base64URL-kodet payload og en signatur. Denne afkoder opdeler og afkoder de første to dele øjeblikkeligt i din browser, så du kan læse, hvad en token faktisk indeholder.
Den mest almindelige anvendelse er at inspicere en token, et API returnerede: hvem der udstedte den (iss), hvornår den udløber (exp), hvilke rettigheder den bærer (scope eller roller), og om den allerede er udløbet.
Værktøjet tager header- og payload-segmenterne og afkoder deres Base64URL-indhold tilbage til læsbar JSON. Intet sendes nogen steder hen: opdelingen og afkodningen sker lokalt i det øjeblik, du indsætter en token.
Udløbet vises i læsbar lokal tid, ikke et råt Unix-tidsstempel, så du ved et enkelt blik kan se, om token stadig er gyldig. Det samme gælder andre tidsangivelser som iat og nbf, som bliver til datoer, du faktisk kan fortolke.
Dette værktøj afkoder og viser, det verificerer ikke signaturen mod en hemmelig nøgle. Enhver kan læse en JWT-payload uden en nøgle, fordi kun signaturen er beskyttet, ikke indholdet.
Til signaturverificering har du brug for signeringshemmeligheden eller den offentlige nøgle, som aldrig bør indtastes i et browserbaseret værktøj. Indsæt ikke hemmeligheder her.
Token forlader aldrig din enhed. Al afkodning kører i din browser, så intet af det, du indsætter, uploades eller gemmes.
Ofte stillede spørgsmål
Nej. Den afkoder og viser header og payload. At verificere signaturen kræver den hemmelige signeringsnøgle eller offentlige nøgle, som du ikke bør indsætte i noget webværktøj.
Afkodning læser den Base64url-kodede header og payload, som ikke er krypterede. Verificering genberegner signaturen med nøglen for at bevise, at tokenet er autentisk og uændret.
Afkodning sker helt i din browser, så tokenet uploades ikke. Behandl alligevel aktive tokens som hemmeligheder, og undgå at indsætte dem på delte computere.
Det er standardclaims: iat er udstedelsestidspunktet, nbf er ikke-gyldig-før, og exp er udløbstidspunktet. Dekoderen konverterer disse Unix-timestamps til læselig lokal tid.
Ja. Udløb ændrer ikke, hvordan et token afkodes, så du kan inspicere et udløbet tokens claims og se nøjagtigt, hvornår det udløb.
Et JWT er signeret, ikke krypteret. Payloaden er kun Base64url-kodet, så enhver kan læse den. Læg aldrig hemmeligheder i en JWT-payload.
Indlejr dette værktøj
Tilføj dette værktøj til dit eget websted. Kopiér uddraget nedenfor, det holder sig automatisk opdateret.
<iframe src="https://monu.tools/embed/da/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Relaterede værktøjer
Kodér tekst til Base64 eller afkod Base64 tilbage til tekst. UTF-8-sikker med automatisk registrering af retning.
Procent-kodér og -afkod URL'er og URL-komponenter, UTF-8-sikkert.
Generér SHA-1-, SHA-256-, SHA-384- og SHA-512-hashes af enhver tekst, direkte i din browser.
Generér en HMAC for en besked og en hemmelig nøgle med SHA-1, SHA-256, SHA-384 eller SHA-512, i din browser.