Pura JSON Web Token tarkastellaksesi sen otsaketta ja hyotykuormaa, luettavilla vanhenemis- ja myontamisajoilla. Toimii kokonaan selaimessasi; tokeneita ei koskaan ladata.
Nain kaytat tyokalua JWT-dekoodain
Liita JWT muodossa header.payload.signature.
Lue purettu otsake ja hyotykuorma muotoiltuna JSON:na.
Tarkista vanhenemis- ja myontamisajat seka onko token vanhentunut.
A JSON Web Token has three parts separated by dots: a Base64URL-encoded header, a Base64URL-encoded payload, and a signature. This decoder splits and decodes the first two parts instantly in your browser, so you can read what a token actually contains.
The most common use is inspecting a token an API returned: who issued it (iss), when it expires (exp), what permissions it carries (scope or roles), and whether it has already expired.
The tool takes the header and payload segments and decodes their Base64URL contents back into readable JSON. Nothing is sent anywhere: the split and decode happen locally the moment you paste a token.
The expiry is shown in readable local time, not a raw Unix timestamp, so you can see at a glance whether the token is still valid. The same applies to other time claims like iat and nbf, which become dates you can actually interpret.
This tool decodes and displays, it does not verify the signature against a secret key. Anyone can read a JWT payload without a key, because only the signature is protected, not the contents.
For signature verification you need the signing secret or public key, which should never be entered into a browser-based tool. Do not paste secrets here.
The token never leaves your device. All decoding runs in your browser, so nothing you paste is uploaded or stored.
Usein kysytyt kysymykset
Ei. Se purkaa ja nayttaa otsakkeen ja hyotykuorman. Allekirjoituksen tarkistus tarvitsee allekirjoitussalaisuuden tai julkisen avaimen, jota et tulisi liittaa mihinkaan verkkotyokaluun.
Purkaminen lukee Base64url-otsakkeen ja -hyotykuorman, joita ei ole salattu. Tarkistaminen laskee allekirjoituksen uudelleen avaimella todistaakseen, etta token on aito ja muuttumaton.
Purkaminen tapahtuu kokonaan selaimessasi, joten tokenia ei ladata. Silti käsittele eläviä tokeneita salaisuuksina ja vältä liittämästä niitä jaetuilla tietokoneilla.
Ne ovat vakioväitteita: iat on myontamishetki, nbf on ei-voimassa-ennen, ja exp on vanhenemisaika. Dekoodain muuntaa nama Unix-aikaleimat luettavaksi paikalliseksi ajaksi.
Kyllä. Vanheneminen ei muuta sitä, miten token puretaan, joten voit tarkastella vanhentuneen tokenin väitteitä ja nähdä tarkalleen, milloin se raukesi.
JWT on allekirjoitettu, ei salattu. Hyotykuorma on vain Base64url-koodattu, joten kuka tahansa voi lukea sen. Ala koskaan laita salaisuuksia JWT-hyotykuormaan.
Upota tämä työkalu
Lisää tämä työkalu omalle verkkosivustollesi. Kopioi alla oleva koodinpätkä, niin se pysyy ajan tasalla automaattisesti.
<iframe src="https://monu.tools/embed/fi/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Liittyvat tyokalut
Koodaa teksti Base64-muotoon tai pura Base64 takaisin tekstiksi. UTF-8-turvallinen automaattisella suunnan tunnistuksella.
Prosenttikoodaa ja pura URL-osoitteita ja URL-komponentteja, UTF-8-turvallisesti.
Luo SHA-1-, SHA-256-, SHA-384- ja SHA-512-tiivisteita mista tahansa tekstista suoraan selaimessasi.
Luo HMAC viestille ja salaiselle avaimelle kayttaen SHA-1:ta, SHA-256:ta, SHA-384:ta tai SHA-512:ta, selaimessasi.