Är det säkert att klistra in min JWT här?

Ja. Avkodning sker helt och hållet i din webbläsare - token skickas aldrig till någon server. JWT är dock autentiseringsuppgifter – dela dem inte offentligt (i skärmdumpar, Stack Overflow-inlägg, etc.) eftersom de kan ge åtkomst till dina konton.

Verifierar detta verktyg JWT-signaturen?

Detta verktyg avkodar och visar tokeninnehållet. Signaturverifiering kräver den hemliga nyckeln (HMAC) eller den offentliga nyckeln (RSA/ECDSA), som ska finnas kvar på din server. Verktyget visar vilken algoritm som används men kan inte verifiera utan nyckeln.

Vad betyder standardanspråken från JWT?

iss = utfärdare, sub = ämne (användar-ID), exp = utgångstid (Unix-tidsstämpel), iat = utfärdat vid, nbf = inte tidigare, aud = publik, jti = JWT-ID. Anpassade anspråk kan innehålla vilken applikationsspecifik data som helst.

Varför kan vem som helst avkoda en JWT?

JWT:er är kodade, inte krypterade. Nyttolasten är Base64URL-kodad (inte krypterad), så vem som helst kan läsa den. Signaturen förhindrar manipulering, inte läsning. Lagra aldrig känslig data (lösenord, SSN) i JWT-nyttolaster.

Varför saknar vissa tokens en signatur?

Tokens med alg: ingen har ingen signatur. De är giltiga JWTs enligt spec men ger inga äkthetsgarantier och bör inte accepteras i produktion.

Är JWT:er krypterade?

Standard JWT-nyttolaster är signerade men inte krypterade. JWE (JSON Web Encryption, RFC 7516) är ett separat format för krypterade tokens. De flesta JWT i det vilda är JWS (endast signerade).

Är min token uppladdad till en server?

Nej. Avkodning sker i din webbläsare; token lämnar inte din enhet.

Hur långa är JWTs vanligtvis?

Allt från några hundra till flera tusen tecken. Längden beror på antalet och storleken på anspråken plus signaturlängden (som beror på algoritmen).

Gratis omvandlare

JWT-token Avkodare

Avkoda JWT (JSON Web Token) header och nyttolast direkt i din webbläsare. Gratis, privat och klientsidan - ingen data skickas till någon server.

Klistra in din JWT-token

Om detta verktyg

JSON Web Tokens (JWT) är ett kompakt, URL-säkert format för överföring av anspråk mellan två parter, definierat av RFC 7519. En JWT är tre base64url-kodade segment separerade med punkter: header (algoritm och tokentyp), nyttolast (anspråk) och signatur (kryptografiskt bevis på äkthet). Rubriken och nyttolasten är JSON, base64url-kodade för URL-säkerhet; signaturen använder en av flera algoritmer (HS256, RS256, ES256 och andra) över den kodade rubriken och nyttolasten.

Att avkoda en JWT – dela upp den i segment och base64-avkoda var och en – kräver ingen hemlighet. Alla som har tokentexten kan läsa dess rubrik och nyttolast. Signaturen kan dock endast verifieras med hemligheten (HMAC) eller publik nyckel (asymmetrisk). Avkodning är för inspektion; verifiering är det som bevisar äkthet.

Den här avkodaren delar upp token, base64-avkodar varje segment, analyserar headern och nyttolasten som JSON och visar resultatet. Den försöker inte verifiera signatur eftersom det kräver den hemliga eller publika nyckeln, som avkodaren inte har. Den avkodade utgången är skrivskyddad inspektion - användbar för felsökning av tokens men inte en ersättning för korrekt verifiering i applikationskoden.

Varför avkoda JWTs

Att felsöka autentiseringsproblem involverar nästan alltid att inspektera tokens. En token som ser giltig i koden kan ha felaktiga anspråk, en oväntad algoritm, en utgången exp-tidsstämpel eller målgruppsfel. Avkodning av token avslöjar exakt vad utfärdaren producerade.

Att inspektera polletter under integrationsarbetet hjälper också. När du ansluter till en tredje parts API eller identitetsleverantör förstås de faktiska anspråksnamnen, formaten och strukturen bäst genom att avkoda provtokens snarare än att förlita sig på dokumentation som kan vara föråldrad.

Så här använder du det

Klistra in token, hämta det analyserade innehållet.

Klistra in din JWT: Släpp hela token (header.payload.signature) i inmatningsområdet. Avkodaren accepterar tokens med eller utan det valfria bärarprefixet.
Inspektera rubriken: Rubriken visar signeringsalgoritmen (alg) och tokentypen (typ). Vanliga algoritmer är HS256, RS256 och ES256. Se upp för alg: ingen, som signalerar en osignerad token och är sällan säker i produktion.
Inspektera nyttolasten: Nyttolasten innehåller anspråken: iss (emittent), sub (subject), aud (public), exp (expiration), iat (emitted at) och eventuella applikationsspecifika anspråk. Standardtidsstämplar är Unix-epoksekunder.
Verifiera separat: Avkodaren verifierar inte signaturen. För att kontrollera äktheten, kör token genom ett JWT-bibliotek med lämplig hemlig eller offentlig nyckel i din applikationskod.

Vanliga användningsfall

Felsökning av utgångna tokenfel — Avkodning av token avslöjar exp-anspråket. Jämför med den aktuella tiden för att bekräfta om utgången är den faktiska orsaken.
Förstå anspråksstrukturen för en tredjepartstoken — Identitetsleverantörer (Auth0, Okta, Cognito) utfärdar tokens med leverantörsspecifika anspråkslayouter. Avkodning av provtokens visar den faktiska strukturen.
Inspektera tokens under integration — När du integrerar SSO- eller OAuth-flöden hjälper avkodningstoken vid varje steg att verifiera att data har formats som förväntat.
Granska tokeninnehåll för känslig data — Tokens är inte krypterade som standard; nyttolasten är läsbar. Avkodning av befintliga tokens hjälper till att bekräfta att känslig data inte inkluderas av misstag.
Verifiera målgrupps- och emittentanspråk — Att försvara sig mot tokenförvirring kräver korrekt aud- och isshantering. Avkodning av tokens under testning bekräftar att dessa påståenden är korrekt ifyllda.

Tekniska detaljer

JWT-formatet är tre segment sammanfogade av punkter. Varje segment är base64url-kodat — den URL-säkra varianten av base64 som använder - och _ istället för + och /, med utfyllnad ibland utelämnad. Avkodning kräver att du ångrar de URL-säkra ersättningarna, utfyllnad av segmentet och base64-avkodning.

Rubriken och nyttolasten är JSON efter avkodning. Signatursegmentet är binärt (rå signaturbytes) och är inte läsbart för människor; det kräver att verifieringsnyckeln är användbar.

Vanliga anspråk som definieras i RFC 7519: iss (utfärdare), sub (ämnesidentifierare), aud (publik), exp (utgång som Unix-epoksekunder), nbf (inte-före tidsstämpel), iat (utfärdat vid tidsstämpel), jti (unikt token-ID). Applikationsspecifika anspråk kan visas med vilket namn som helst.

Bästa metoder

Lita aldrig på en overifierad JWT — Avkodning avslöjar bara innehållet; det bevisar inte äkthet. Verifiera alltid signaturen med rätt nyckel i applikationskoden innan du litar på anspråken.
Se upp för alg: ingen — Tokens med alg: ingen har ingen signatur. Applikationskod som accepterar dem är sårbar för förfalskning. Kräv alltid en specifik algoritm i din verifieringskonfiguration.
Var försiktig med känslig data i nyttolaster — JWT-nyttolaster kan läsas av alla med token. Kryptera nyttolasten (använd JWE) om den innehåller data som måste vara hemlig.
Validera exp före bearbetning — En utgången token bör avvisas även om signaturen är giltig. JWT-bibliotek kontrollerar vanligtvis exp automatiskt; verifiera att ditt bibliotek gör det.

Vanliga frågor

Är det säkert att klistra in min JWT här?: Ja. Avkodning sker helt och hållet i din webbläsare - token skickas aldrig till någon server. JWT är dock autentiseringsuppgifter – dela dem inte offentligt (i skärmdumpar, Stack Overflow-inlägg, etc.) eftersom de kan ge åtkomst till dina konton.
Verifierar detta verktyg JWT-signaturen?: Detta verktyg avkodar och visar tokeninnehållet. Signaturverifiering kräver den hemliga nyckeln (HMAC) eller den offentliga nyckeln (RSA/ECDSA), som ska finnas kvar på din server. Verktyget visar vilken algoritm som används men kan inte verifiera utan nyckeln.
Vad betyder standardanspråken från JWT?: iss = utfärdare, sub = ämne (användar-ID), exp = utgångstid (Unix-tidsstämpel), iat = utfärdat vid, nbf = inte tidigare, aud = publik, jti = JWT-ID. Anpassade anspråk kan innehålla vilken applikationsspecifik data som helst.
Varför kan vem som helst avkoda en JWT?: JWT:er är kodade, inte krypterade. Nyttolasten är Base64URL-kodad (inte krypterad), så vem som helst kan läsa den. Signaturen förhindrar manipulering, inte läsning. Lagra aldrig känslig data (lösenord, SSN) i JWT-nyttolaster.
Varför saknar vissa tokens en signatur?: Tokens med alg: ingen har ingen signatur. De är giltiga JWTs enligt spec men ger inga äkthetsgarantier och bör inte accepteras i produktion.
Är JWT:er krypterade?: Standard JWT-nyttolaster är signerade men inte krypterade. JWE (JSON Web Encryption, RFC 7516) är ett separat format för krypterade tokens. De flesta JWT i det vilda är JWS (endast signerade).
Är min token uppladdad till en server?: Nej. Avkodning sker i din webbläsare; token lämnar inte din enhet.
Hur långa är JWTs vanligtvis?: Allt från några hundra till flera tusen tecken. Längden beror på antalet och storleken på anspråken plus signaturlängden (som beror på algoritmen).

JWT-token Avkodare

Relaterade verktyg

URL-kodare / Avkodare

Base64 Encoder / Avkodare

JSON-formaterare & Validator

XML-formaterare & Validator

Om detta verktyg

Varför avkoda JWTs

Så här använder du det

Vanliga användningsfall

Tekniska detaljer

Bästa metoder

Vanliga frågor

Related Articles

Essential Developer Tools: JSON, Base64, RegEx, and More

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk