Monu Tools

JWT-dekoder

Afkod et JSON Web Token for at inspicere dets header og payload, med læselige udløbs- og udstedelsestidspunkter. Kører helt i din browser; tokens uploades aldrig.

Sådan bruger du JWT-dekoder

  1. 01

    Indsæt et JWT i formen header.payload.signatur.

  2. 02

    Læs den afkodede header og payload som formateret JSON.

  3. 03

    Tjek udløbs- og udstedelsestidspunkterne, og om tokenet er udløbet.

Hvad en JWT-afkoder viser dig

En JSON Web Token har tre dele adskilt af punktummer: en Base64URL-kodet header, en Base64URL-kodet payload og en signatur. Denne afkoder opdeler og afkoder de første to dele øjeblikkeligt i din browser, så du kan læse, hvad en token faktisk indeholder.

Den mest almindelige anvendelse er at inspicere en token, et API returnerede: hvem der udstedte den (iss), hvornår den udløber (exp), hvilke rettigheder den bærer (scope eller roller), og om den allerede er udløbet.

Sådan fungerer afkodningen

Værktøjet tager header- og payload-segmenterne og afkoder deres Base64URL-indhold tilbage til læsbar JSON. Intet sendes nogen steder hen: opdelingen og afkodningen sker lokalt i det øjeblik, du indsætter en token.

Læsning af udløb og tidsstempler

Udløbet vises i læsbar lokal tid, ikke et råt Unix-tidsstempel, så du ved et enkelt blik kan se, om token stadig er gyldig. Det samme gælder andre tidsangivelser som iat og nbf, som bliver til datoer, du faktisk kan fortolke.

Afkodning er ikke verificering

Dette værktøj afkoder og viser, det verificerer ikke signaturen mod en hemmelig nøgle. Enhver kan læse en JWT-payload uden en nøgle, fordi kun signaturen er beskyttet, ikke indholdet.

Til signaturverificering har du brug for signeringshemmeligheden eller den offentlige nøgle, som aldrig bør indtastes i et browserbaseret værktøj. Indsæt ikke hemmeligheder her.

Privatliv

Token forlader aldrig din enhed. Al afkodning kører i din browser, så intet af det, du indsætter, uploades eller gemmes.

Ofte stillede spørgsmål

Verificerer den signaturen?

Nej. Den afkoder og viser header og payload. At verificere signaturen kræver den hemmelige signeringsnøgle eller offentlige nøgle, som du ikke bør indsætte i noget webværktøj.

Hvad er forskellen på at afkode og at verificere?

Afkodning læser den Base64url-kodede header og payload, som ikke er krypterede. Verificering genberegner signaturen med nøglen for at bevise, at tokenet er autentisk og uændret.

Er det sikkert at indsætte mit token her?

Afkodning sker helt i din browser, så tokenet uploades ikke. Behandl alligevel aktive tokens som hemmeligheder, og undgå at indsætte dem på delte computere.

Hvad betyder exp, iat og nbf?

Det er standardclaims: iat er udstedelsestidspunktet, nbf er ikke-gyldig-før, og exp er udløbstidspunktet. Dekoderen konverterer disse Unix-timestamps til læselig lokal tid.

Kan jeg afkode et udløbet token?

Ja. Udløb ændrer ikke, hvordan et token afkodes, så du kan inspicere et udløbet tokens claims og se nøjagtigt, hvornår det udløb.

Hvorfor er min payload læselig uden en nøgle?

Et JWT er signeret, ikke krypteret. Payloaden er kun Base64url-kodet, så enhver kan læse den. Læg aldrig hemmeligheder i en JWT-payload.

Kilder

Indlejr dette værktøj

Tilføj dette værktøj til dit eget websted. Kopiér uddraget nedenfor, det holder sig automatisk opdateret.

<iframe src="https://monu.tools/embed/da/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Relaterede værktøjer