Handytool
Utvecklarguide5 min läsningUppdaterad 24 feb. 2026

Omedelbar utvecklarverktyg

Avkoda vilken JWT som helst och inspektera dess anspråk omedelbar

Handytools JWT-avkodar delar vilken JSON Web Token som helst i dess header, nyttolast och anspråk — med utgångskontroller och människoläsbara tidsstämplar — allt i din webbläsare, aldrig rörande en server.

Öppna JWT-avkodareAlla artiklar

Viktiga punkter

  • 01Avkoda vilken JWT som helst och inspektera header, nyttolast och standardanspråk i en klistring.
  • 02Exp-, nbf- och iat-anspråken konverteras till människoläsbara tidsstämplar med giltig/utgångad taggar.
  • 03Avkodning är helt lokal — säker för att klistra in verkliga produktionstokens vid felsökning.
  • 04Avkodaren verifierar inte signaturer — det måste ske på serversidan med utgivares nyckel.

Varför du behöver en JWT-avkodar

JSON Web Tokens ser ut som slumpmässig brus tills du vet att de är tre Base64URL-kodade segment separerade av prickar. Det första segmentet är headern (algoritm och tokentyp), det andra är nyttolasterna (anspråken: användar-ID, roller, utgång), och det tredje är signaturen. När du felsöker ett autentiseringsproblem, en utgången session eller en bruten OAuth-integration är det första du behöver göra läsa nyttolasterna.

Att göra det för hand betyder att dela på prickar, avkoda Base64URL och sedan konvertera Unix-tidsstämplar till läsbara datum. Handytools JWT-avkodar gör allt automatiskt och lägger till giltighetstaggar på timinganspråken så att du kan se på en gång om en token fortfarande är aktiv.

Hur du avkodar en JWT-token

  1. 01

    Kopiera JWT

    Hämta tokenen från din webbläsares DevTools (Application > Cookies, eller Network-panelen Authorization-header), från en loggfil eller från din API-klient.

  2. 02

    Klistra in det i avkodaren

    Klistra in den fullständiga tokenen — inklusive alla tre segment separerade av prickar — i inmatningsrutan. Avkodaren identifierar segmenten automatiskt.

  3. 03

    Läs headern och nyttolasterna

    Verktyget delar tokenen och pretty-printar headern (algoritm, typ) och nyttolasterna (alla anspråk) som formaterad JSON.

  4. 04

    Kontrollera timinganspråken

    Exp (utgång), nbf (inte före) och iat (utfärdad vid) Unix-tidsstämplar konverteras till ISO-datum. Avkodaren märker exp som grön (giltig) eller röd (utgången) relativt din nuvarande lokala tid.

Standardanspråk för JWT förklarad

Dessa registrerade anspråksnamn visas i de flesta JWTs.

  • 01iss (Issuer) — identifierar vem som skapade tokenen, typiskt en URL eller servicenivå.
  • 02sub (Subject) — principalen som tokenen representerar, vanligtvis ett användar-ID.
  • 03aud (Audience) — de avsedda mottagarna av tokenen; din server bör avvisa tokens avsedd för andra.
  • 04exp (Expiration) — Unix-tidsstämpel efter vilken tokenen måste avvisas.
  • 05nbf (Not Before) — Unix-tidsstämpel före vilken tokenen måste avvisas.
  • 06iat (Issued At) — Unix-tidsstämpel när tokenen myntades; användbar för att detektera föråldrad tokens.

Säker att klistra in verkliga tokens vid felsökning

JWT-avkodning sker helt i din webbläsare med hjälp av native atob-funktionen och JSON.parse. Ingenting överförs till någon server — din token avkodas i minne och visas lokalt. Du kan säkert klistra in verkliga åtkomsttoken och sessionstokens från utvecklings- eller mellanlagringsmiljöer för att felsöka autentiseringsflöden.

Det sagt, behandla JWTs som lösenord. De ger åtkomst till dina system under hela sin livslängd. Klistra inte produktionstokens från konton med höga behörigheter i något verktyg om du inte är säker på verktygets integritetskällor — och rotera alltid en token om du tror att den kan ha exponerats.

JWT-avkodar FAQ

Vad är en JWT?

En JSON Web Token är ett kompakt, URL-säkert format bestående av tre Base64URL-segment (header, nyttolast, signatur) separerade av prickar. JWTs bär anspråk — påståenden om en användare eller session — och används för autentisering, auktorisering och API-åtkomst.

Verifierar denna avkodar JWT-signaturen?

Nej. Avkodaren tolkar bara headern och nyttolasterna. Signaturverifiering kräver utgivarens hemliga eller offentliga nyckel och måste ske i din programkod med ett pålitligt bibliotek.

Är det säkert att klistra in en verklig åtkomsttoken här?

Avkodning är helt lokal — tokenen överförs aldrig. Men JWTs ger verklig åtkomst, så behandla dem som lösenord. Dela dem inte, begå dem inte till källkontroll och rotera dem om de kan ha exponerats.

Vad betyder exp-anspråket?

Exp är utgångstidsstämpeln — ett Unix-heltal som representerar ögonblicket då tokenen slutar att vara giltig. Avkodaren konverterar den till ett människoläsbart ISO-datum och märker den giltig eller utgången relativt din nuvarande lokala tid.

Varför är JWT-nyttolasterna synliga utan en nyckel?

JWT-nyttolaster är Base64URL-kodade, inte krypterade. De är utformade för att vara läsbara — signaturen bevisar bara äkthet, inte konfidentialitet. Lägg aldrig verkligt hemliga data i en JWT-nyttolast om du inte använder JSON Web Encryption (JWE).

Är avkodaren gratis?

Ja. Handytool är gratis utan registrering, inga hastighetsgränser och ingen datainsamling.

Relaterade verktyg

Fortsätt arbeta med Verktyg-verktyg

Verktyg-verktyg