Handytool
Utviklerguide5 min lesingOppdatert 24. feb. 2026

Øyeblikkelig utviklerverktøy

Dekode enhver JWT og inspeksjon claims øyeblikkelig

Handytool JWT-dekoder splittet enhver JSON Web Token til dens header, payload og claims – med sluttverifiseringssjekker og menneskelesbar tidsstempler – alt i nettleseren, aldri berøring en server.

Åpne JWT-avkodarAlle artikler

Viktigste punkter

  • 01Dekode enhver JWT og inspeksjon header, payload og standard claims på en liming.
  • 02Exp, nbf og iat claims konverteres til menneskelesbar tidsstempler med gyldig/utløpt merker.
  • 03Dekoding er rent lokalt – sikker for limingen av reelle produksjonstokens mens feilsøking.
  • 04Dekoderen verifiserer ikke signaturer – det må skje serverside med utstedersens nøkkel.

Hvorfor trenger du en JWT-dekoder

JSON Web Tokens ser ut som tilfeldig støy inntil du vet at de er tre Base64URL-kodede segmenter adskilt av prikker. Det første segmentet er headeren (algoritme og token-type), det andre er nyttelastene (kravene: bruker-ID, roller, utløp) og det tredje er signaturen. Når feilsøking av autentiseringsproblemer, en utløpt sesjone eller en ødelagt OAuth-integrasjon, det første du må gjøre er å lese nyttelastene.

Gjøre det for hånd betyr å dele på prikker, dekode Base64URL og deretter konvertere Unix-tidsstempler til lesbare datoer. Handytool JWT-dekoder gjør alt dette automatisk og legger til gyldighetsmerker på timing-kravene slik at du kan se på et øyeblikk om en token er ennå aktiv.

Hvordan dekode en JWT-token

  1. 01

    Kopier JWT-en

    Få tokenen fra nettleserens DevTools (Applikasjon > Informasjonskapsler eller nettverkspanelet Authorization-header), fra en loggfil eller fra API-klienten.

  2. 02

    Lime inn det i dekoderen

    Lime inn hele tokenen – inkludert alle tre segmenter adskilt av prikker – i inndataboksen. Dekoderen identifiserer segmentene automatisk.

  3. 03

    Les headeren og nyttelastene

    Verktøyet splitter tokenen og penner-trykk headeren (algoritme, type) og nyttelastene (alle krav) som formatert JSON.

  4. 04

    Sjekk timing-kravene

    Exp (utløp), nbf (ikke før) og iat (utsted på) Unix-tidsstempler konverteres til ISO-datoer. Dekoderen tagger exp som grønn (gyldig) eller rød (utløpt) relativt til gjeldende lokal tid.

Standard JWT-krav forklart

Disse registrerte kravnavnene vises i de fleste JWT-er.

  • 01iss (Issuer) – identifiserer hvem som opprettet tokenen, typisk en URL eller servicenavn.
  • 02sub (Subject) – hovednumrene tokenen representerer, vanligvis en bruker-ID.
  • 03aud (Audience) – de tiltenkte mottakerne av tokenen; serveren skal avvise tokens beregnet for andre.
  • 04exp (Expiration) – Unix-tidsstempel som tokenen må avvises etter.
  • 05nbf (Not Before) – Unix-tidsstempel før tokenen må avvises.
  • 06iat (Issued At) – Unix-tidsstempel når tokenen ble myntet; nyttig for deteksjon av forståelse tokens.

Sikker til å lime inn reelle tokens mens feilsøking

JWT-dekoding skjer helt i nettleseren ved hjelp av native atob-funksjon og JSON.parse. Ingenting overføres til noen server – tokenen dekodes i minnet og vises lokalt. Du kan trygt lime inn reelle tilgangstokens og sesjongtokens fra utvikling eller oppsamling miljøer for å feilsøk autentiseringer flyt.

Det sagt, behandle JWT-er som passord. De gir tilgang til systemene for hele levetiden. Lime aldri produksjonstokens fra høyrets kontoer inn i noen verktøy med mindre du er sikker på verktøyets personverngarantier – og alltid rotere en token hvis du tror den kan ha vært avslørende.

FAQ for JWT-dekoder

Hva er en JWT?

En JSON Web Token er et kompakt, URL-sikker format bestående av tre Base64URL-segmenter (header, payload, signatur) adskilt av prikker. JWT-er bærer krav – påstander om bruker eller sesjone – og brukes til autentisering, autorisasjon og API-tilgang.

Verifiserer denne dekoderen JWT-signaturen?

Nei. Dekoderen analyserer bare header og payload. Signaturverifisering krever utstedersens hemmelighet eller offentlig nøkkel og må skje i applikasjonkoden ved hjelp av et tillitt bibliotek.

Er det trygt å lime inn en reell tilgangstoken her?

Dekoding er helt lokalt – tokenen overføres aldri. JWT-er gir imidlertid reell tilgang, så behandl dem som passord. Dele dem ikke, ikke begå dem til kildekontroll og rotere dem hvis de kan ha blitt avslørende.

Hva betyr exp-kravet?

Exp er utløp tidsstempel – et Unix heltall som representerer øyeblikket tokenen slutter å være gyldig. Dekoderen konverterer det til menneskelesbar ISO-dato og merker det gyldig eller utløpt relativt til gjeldende lokal tid.

Hvorfor er JWT-nyttelastene synlige uten nøkkel?

JWT-nyttelaster er Base64URL-kodet, ikke kryptert. De er designet for å være lesbare – signaturen beviser bare autentisitet, ikke konfidensialitet. Legge aldri riktig hemmelig data i en JWT-nyttelast med mindre du bruker JSON Web Encryption (JWE).

Er dekoderen gratis?

Ja. Handytool er gratis uten registrering, ingen ratesgrenser og ingen datasamling.

Relaterte verktøy

Fortsett å arbeide med Verktøy-verktøy

Verktøy-verktøy