Dekod en JSON Web Token for å inspisere header og payload, med lesbare utløps- og utstedelsestider. Kjører helt i nettleseren din. Tokens lastes aldri opp.
Slik bruker du JWT-dekoder
Lim inn en JWT på formen header.payload.signature.
Les den dekodede headeren og payloaden som formatert JSON.
Sjekk utløps- og utstedelsestidene, og om token er utløpt.
En JSON Web Token har tre deler adskilt av punktum: et Base64URL-kodet hode, en Base64URL-kodet nyttelast, og en signatur. Denne dekoderen deler og dekoder de to første delene øyeblikkelig i nettleseren din, så du kan lese hva en token faktisk inneholder.
Den vanligste bruken er å inspisere en token et API returnerte: hvem som utstedte den (iss), når den utløper (exp), hvilke tillatelser den bærer (scope eller roller), og om den allerede har utløpt.
Verktøyet tar hode- og nyttelastsegmentene og dekoder Base64URL-innholdet deres tilbake til lesbar JSON. Ingenting sendes noe sted: delingen og dekodingen skjer lokalt i det øyeblikket du limer inn en token.
Utløpet vises i lesbar lokal tid, ikke et rått Unix-tidsstempel, så du kan se ved et øyekast om tokenen fortsatt er gyldig. Det samme gjelder andre tidskrav som iat og nbf, som blir datoer du faktisk kan tolke.
Dette verktøyet dekoder og viser, det verifiserer ikke signaturen mot en hemmelig nøkkel. Hvem som helst kan lese en JWT-nyttelast uten en nøkkel, fordi bare signaturen er beskyttet, ikke innholdet.
For signaturverifisering trenger du signeringshemmeligheten eller den offentlige nøkkelen, som aldri bør skrives inn i et nettleserbasert verktøy. Ikke lim inn hemmeligheter her.
Tokenen forlater aldri enheten din. All dekoding kjører i nettleseren din, så ingenting du limer inn lastes opp eller lagres.
Ofte stilte spørsmål
Nei. Den dekoder og viser header og payload. Å verifisere signaturen krever signeringshemmeligheten eller den offentlige nøkkelen, som du ikke bør lime inn i noe nettverktøy.
Dekoding leser den Base64url-kodede headeren og payloaden, som ikke er kryptert. Verifisering beregner signaturen på nytt med nøkkelen for å bevise at token er autentisk og uendret.
Dekoding skjer helt i nettleseren din, så token lastes ikke opp. Behandle likevel aktive tokens som hemmeligheter og unngå å lime dem inn på delte datamaskiner.
Det er standardkrav: iat er utstedt-tidspunkt, nbf er ikke-gyldig-før, og exp er utløpstiden. Dekoderen konverterer disse Unix-tidsstemplene til lesbar lokal tid.
Ja. Utløp endrer ikke hvordan et token dekodes, så du kan inspisere kravene til et utløpt token og se nøyaktig når det gikk ut.
En JWT er signert, ikke kryptert. Payloaden er bare Base64url-kodet, så hvem som helst kan lese den. Legg aldri hemmeligheter i en JWT-payload.
Bygg inn dette verktøyet
Legg til dette verktøyet på ditt eget nettsted. Kopier kodesnutten nedenfor; den holdes automatisk oppdatert.
<iframe src="https://monu.tools/embed/nb/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Relaterte verktøy
Kode tekst til Base64 eller dekode Base64 tilbake til tekst. UTF-8-trygt med automatisk retningsgjenkjenning.
Prosent-kode og dekode URL-er og URL-komponenter, UTF-8-trygt.
Lag SHA-1-, SHA-256-, SHA-384- og SHA-512-hasher av hvilken som helst tekst, direkte i nettleseren din.
Generer en HMAC for en melding og hemmelig nøkkel med SHA-1, SHA-256, SHA-384 eller SHA-512, i nettleseren din.