ถอดรหัส JSON Web Token เพื่อตรวจสอบส่วนหัวและข้อมูล พร้อมแสดงเวลาหมดอายุและเวลาออกในรูปแบบที่อ่านได้ ทำงานทั้งหมดในเบราว์เซอร์ของคุณ ไม่มีการอัปโหลด token
วิธีใช้ JWT Decoder
วาง JWT ในรูปแบบ header.payload.signature
อ่านส่วนหัวและข้อมูลที่ถอดรหัสแล้วในรูปแบบ JSON
ตรวจสอบเวลาหมดอายุและเวลาออก และว่า token หมดอายุแล้วหรือยัง
A JSON Web Token has three parts separated by dots: a Base64URL-encoded header, a Base64URL-encoded payload, and a signature. This decoder splits and decodes the first two parts instantly in your browser, so you can read what a token actually contains.
The most common use is inspecting a token an API returned: who issued it (iss), when it expires (exp), what permissions it carries (scope or roles), and whether it has already expired.
The tool takes the header and payload segments and decodes their Base64URL contents back into readable JSON. Nothing is sent anywhere: the split and decode happen locally the moment you paste a token.
The expiry is shown in readable local time, not a raw Unix timestamp, so you can see at a glance whether the token is still valid. The same applies to other time claims like iat and nbf, which become dates you can actually interpret.
This tool decodes and displays, it does not verify the signature against a secret key. Anyone can read a JWT payload without a key, because only the signature is protected, not the contents.
For signature verification you need the signing secret or public key, which should never be entered into a browser-based tool. Do not paste secrets here.
The token never leaves your device. All decoding runs in your browser, so nothing you paste is uploaded or stored.
คำถามที่พบบ่อย
ไม่ เครื่องมือนี้แค่ถอดรหัสและแสดงส่วนหัวและข้อมูล การตรวจสอบลายเซ็นต้องใช้ความลับในการลงชื่อหรือคีย์สาธารณะ ซึ่งคุณไม่ควรวางในเครื่องมือเว็บใดก็ตาม
การถอดรหัสอ่านส่วนหัวและข้อมูล Base64url ซึ่งไม่ได้เข้ารหัส การตรวจสอบคำนวณลายเซ็นใหม่ด้วยคีย์เพื่อพิสูจน์ว่า token นั้นแท้และไม่ถูกแก้ไข
การถอดรหัสเกิดขึ้นทั้งหมดในเบราว์เซอร์ของคุณ ดังนั้น token จึงไม่ถูกอัปโหลด อย่างไรก็ตาม ถือว่า token ที่ใช้งานจริงเป็นความลับและหลีกเลี่ยงการวางบนคอมพิวเตอร์ที่ใช้ร่วมกัน
เป็น claims มาตรฐาน: iat คือ issued-at (เวลาออก), nbf คือ not-valid-before (ยังไม่เริ่มใช้งาน) และ exp คือเวลาหมดอายุ ตัวถอดรหัสแปลง Unix timestamps เหล่านี้เป็นเวลาท้องถิ่นที่อ่านได้
ได้ การหมดอายุไม่เปลี่ยนวิธีถอดรหัส token ดังนั้นคุณสามารถตรวจสอบ claims ของ token ที่หมดอายุและดูว่าหมดอายุเมื่อใด
JWT ถูกลงชื่อไม่ใช่เข้ารหัส ข้อมูลถูก encode แบบ Base64url เท่านั้น ดังนั้นทุกคนสามารถอ่านได้ อย่าใส่ความลับในข้อมูล JWT
ฝังเครื่องมือนี้
เพิ่มเครื่องมือนี้ลงในเว็บไซต์ของคุณเอง คัดลอกสคริปต์ด้านล่าง โดยจะอัปเดตให้เป็นปัจจุบันโดยอัตโนมัติ
<iframe src="https://monu.tools/embed/th/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>เครื่องมือที่เกี่ยวข้อง
เข้ารหัสข้อความเป็น Base64 หรือถอดรหัส Base64 กลับเป็นข้อความ ปลอดภัยกับ UTF-8 พร้อมตรวจจับทิศทางอัตโนมัติ
เข้ารหัสและถอดรหัสแบบเปอร์เซ็นต์สำหรับ URL และส่วนประกอบ URL ปลอดภัยกับ UTF-8
สร้างแฮช SHA-1, SHA-256, SHA-384 และ SHA-512 ของข้อความใดก็ได้ ในเบราว์เซอร์ของคุณ
สร้าง HMAC สำหรับข้อความและคีย์ความลับโดยใช้ SHA-1, SHA-256, SHA-384 หรือ SHA-512 ในเบราว์เซอร์ของคุณ