Avkoda JSON Web Tokens och verifiera deras signaturer (HS256, RS256, ES256, EdDSA) helt i din webbläsare med Web Crypto API.

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

Så här fungerar det

Klistra in en JSON Web Token i inmatningsfältet — verktyget delar upp den omedelbart i sina tre Base64URL-kodade delar (header, payload, signatur), avkodar de två första till JSON och visar dem formaterade. Standardclaims som iat, nbf, exp, iss, sub och aud visas som läsbara datum eller etiketter så att du kan upptäcka utgångna eller inte-än-giltiga tokens direkt. För att verifiera signaturen klistrar du in signeringshemligheten (för HS256/HS384/HS512) eller den publika nyckeln i PEM- eller JWK-format (för RS256, ES256, ES384, ES512 eller EdDSA). Verktyget använder Web Crypto API för att räkna om signaturen över header.payload och jämföra den med signaturssegmentet i konstant tid — en grön bricka betyder att token är äkta, en röd betyder att signaturen är ogiltig eller att fel nyckel användes. Allt körs lokalt: token, hemligheten och nyckeln lämnar aldrig din webbläsare.

Användningsfall

Felsöka autentiseringsbuggar i en webb- eller mobilapp genom att inspektera exakt vilka claims en token innehåller

Verifiera att en utgången eller manipulerad token korrekt avvisas av din auktoriseringslogik

Kontrollera att din identitetsleverantör signerar tokens med rätt nyckel och algoritm

Lära ut JWT-struktur, claims och vanliga misstag (alg none, key confusion, saknad exp) med ett riktigt exempel

Snabb triage av en produktionsincident där en token avvisas av en nedströmstjänst