Handytool
Developer guide5 min læsetidOpdateret 24. feb. 2026

Øjeblikkelig dev-utility

Dekod enhver JWT og inspicér dens claims øjeblikkeligt

Handytools JWT-decoder deler enhver JSON Web Token i sin header, payload og claims – med udløbskontroller og menneskelæsebare timestamps – alt i din browser, der aldrig rører en server.

Åbn JWT-dekoderAlle artikler

Vigtigste punkter

  • 01Dekod enhver JWT og inspicér header, payload og standard claims i ét indsæt.
  • 02Exp-, nbf- og iat-claims konverteres til menneskelæsebare timestamps med gyldige/udløbne tags.
  • 03Dekodning er rent lokalt – sikkert til indsæt af rigtige produktionstokens under fejlfinding.
  • 04Dekoderen verificerer ikke signaturer – det må ske serverside med udsteders nøgle.

Hvorfor du har brug for en JWT-decoder

JSON Web Tokens ligner tilfældig støj, medmindre du ved, de er tre Base64URL-kodede segmenter adskilt af prikker. Det første segment er headeren (algoritme og token-type), det andet er payload (claims: user ID, roller, udløb), og det tredje er signaturen. Når du fejlfinder et autentificerings problem, en udløbet session eller en brudt OAuth-integration, er det første, du har brug for at gøre, at læse payload.

At gøre det med hånden betyder at dele på prikker, dekode Base64URL og derefter konvertere Unix timestamps til læsbare datoer. Handytools JWT-decoder gør alt dette automatisk og tilføjer gyldighedstags på timing-claims, så du kan se med det samme, om et token stadig er aktivt.

Sådan dekoder du et JWT Token

  1. 01

    Kopier JWT'en

    Grib tokenet fra din browsers DevTools (Applikation > Cookies eller Network panel Authorization header), fra en log fil eller fra din API-klient.

  2. 02

    Indsæt det i dekoderen

    Indsæt det fulde token – herunder alle tre segmenter adskilt af prikker – i inputboksen. Dekoderen identificerer segmenterne automatisk.

  3. 03

    Læs headeren og payload

    Værktøjet deler tokenet og pent-printer headeren (algoritme, type) og payload (alle claims) som formateret JSON.

  4. 04

    Kontroller timing-claims

    Exp (udløb), nbf (ikke-før) og iat (udstedt-på) Unix timestamps konverteres til ISO-datoer. Dekoderen mærker exp som grøn (gyldig) eller rød (udløbet) i forhold til din nuværende lokale tid.

Standard JWT Claims forklaret

Disse registrerede claim-navne vises i de fleste JWTs.

  • 01iss (Issuer) – identificerer hvem der oprettede tokenet, typisk en URL eller tjenestenavn.
  • 02sub (Emne) – den principal tokenet repræsenterer, sædvanligvis en user ID.
  • 03aud (Publikum) – de tilsigtede modtagere af tokenet; din server bør afvise tokens beregnet til andre.
  • 04exp (Udløb) – Unix timestamp efter hvilken tokenet skal afvises.
  • 05nbf (Ikke før) – Unix timestamp før hvilket tokenet skal afvises.
  • 06iat (Udstedt på) – Unix timestamp når tokenet blev skabt; nyttigt til at påvise gamle tokens.

Sikkert at indsæt rigtige tokens under fejlfinding

JWT-dekodning sker helt i din browser ved hjælp af native atob-funktion og JSON.parse. Intet transmitteres til nogen server – dit token dekodes i hukommelse og vises lokalt. Du kan sikkert indsætte rigtige access-tokens og session-tokens fra udviklings- eller staging-miljøer til at fejlfinde autentificerings flows.

Når det er sagt, behandl JWTs som adgangskoder. De giver adgang til dine systemer i hele deres levetid. Indsæt ikke produktionstokens fra high-privilege-konti i noget værktøj, medmindre du er sikker på værktøjets privatlivs garantier – og roter altid et token, hvis du mener, det kan være blevet afsløret.

JWT Decoder FAQ

Hvad er en JWT?

En JSON Web Token er et kompakt, URL-sikkert format bestående af tre Base64URL segmenter (header, payload, signatur) adskilt af prikker. JWTs bærer claims – påstande om en bruger eller session – og bruges til autentificering, autorisering og API-adgang.

Verificerer denne decoder JWT-signaturen?

Nej. Dekoderen analyserer kun header og payload. Signaturverifikation kræver udsteders hemmelighed eller offentlig nøgle og skal ske i din applikationskode ved hjælp af et trygt bibliotek.

Er det sikkert at indsæt et rigtigt access-token her?

Dekodning er helt lokal – tokenet transmitteres aldrig. Dog giver JWTs rigtig adgang, så behandl dem som adgangskoder. Del dem ikke, forpligt dem ikke til kildekontrol og roter dem, hvis de kan være blevet afsløret.

Hvad betyder exp-claimet?

Exp er udløb timestamp – et Unix-heltal, der repræsenterer det øjeblik, tokenet holder op med at være gyldigt. Dekoderen konverterer det til en menneskelæsbar ISO-dato og mærker det gyldigt eller udløbet i forhold til din nuværende lokale tid.

Hvorfor er JWT-payload synlig uden en nøgle?

JWT-payloads er Base64URL-kodet, ikke krypteret. De er designet til at være læsbare – signaturen beviser kun autentificitet, ikke fortrolig hed. Indsæt aldrig virkelig hemmeligt data i en JWT-payload, medmindre du bruger JSON Web Encryption (JWE).

Er dekoderen gratis?

Ja. Handytool er gratis uden tilmelding, ingen hastighedsgrænser og ingen dataindsamling.

Relaterede værktøjer

Fortsæt med Værktøj-værktøjer

Værktøj-værktøjer