Handytool
VerktygKörs lokalt

JWT-avkodare

Avkoda JSON Web Tokens och inspektera deras sidhuvud, nyttolast och anspråk — helt i din webbläsare, aldrig skickat till någon server.

JWT
0 rader0 byte
Avkodad
0 rader0 byte

Handytool avkodar endast sidhuvudet och nyttolasten. Signaturer måste verifieras på serversidan med utfärdarens nyckel.

Om JWT-avkodare

Handytool's JWT-avkodare tolkar vilken JSON Web Token som helst i dess sidhuvud och nyttolast, framhäver standardanspråk (iss, sub, aud, iat, exp, nbf) och visar huruvida token redan har utgått. Eftersom avkodning är rent lokal kan du klistra in verkliga åtkomst-tokens och sessionstokens utan att de lämnar din enhet. Användbar vid felsökning av auth-flöden, OAuth-integrationer eller API:er från tredje part som returnerar ogenomskinliga JWT:er.

Funktioner i JWT-avkodare

  • 01

    Sidhuvud, nyttolast och anspråk på ett ögonkast

    Avkodaren delar din JWT i sina tre segment, pretty-print sidhuvudet och nyttolasten som JSON, och visar standardanspråk — algoritm, ämne, utfärdare, publik, utfärdad på, förfall — i en kompakt sammanfattning ovanför råutmatningen.

  • 02

    Förfalls- och tidskontroller

    Exp-anspråket översätts till en ISO-tidsstämpel och taggad som giltigt eller utgånget relativt till din nuvarande klocka. Samma för nbf (inte innan) och iat (utfärdad på). Inga fler manuella Unix-till-datum-konverteringar.

  • 03

    Endast avkodare — aldrig uppladdad

    Tokens avkodas i din webbläsare med native atob. Inget skickas någonsin till en server. Säkert för att klistra in produktions-JWT:er, API-åtkomst-tokens eller sessionscookies vid felsökning.

Vanliga frågor om JWT-avkodare

Vad är en JWT?
En JSON Web Token är ett kompakt, URL-säkert tokenformat gjort av tre Base64URL-kodade segment separerade av punkter: ett sidhuvud (algoritm och typ), en nyttolast (anspråk) och en signatur. JWT:er används allmänt för autentisering, auktorisering och kortlivad API-åtkomst.
Verifierar denna avkodare signaturen?
Nej. Avkodaren tolkar bara sidhuvudet och nyttolasten för att visa vad som finns inuti. Signaturverifiering kräver utfärdarens hemlighet eller offentliga nyckel, som måste stanna på din server — klistra aldrig den i ett webverktyg. Verifiera signaturer på serversidan i din app.
Är det säkert att klistra in en verklig JWT här?
Avkodning sker helt i din webbläsare — token skickas aldrig. JWT:er är dock inte krypterade (vem som helst med token kan läsa anspråk), så behandla dem som lösenord: dela dem inte, implementera dem inte och rotera dem om de läcker.
Varför visas signaturen men inte verifieras?
Signaturen visas så du kan jämföra den med vad din server producerar vid felsökning. Faktisk verifiering kräver signeringsnyckel (HMAC-hemlighet eller RSA/EC offentlig nyckel), som avkodaren inte har tillgång till och inte bör heller.
Vad betyder "exp"?
exp är förfalloprogramanspråket — en Unix-tidsstämpel efter vilken token ska avvisas. Avkodaren konverterar det till en ISO-tidsstämpel och visar en grön tagg om det fortfarande är i framtiden, eller en röd tagg om token redan har utgått.

Relaterade verktyg

Verktyg

Utforska fler verktyg

Alla verktyg