JWT-avkodare & Verifierare
Avkoda JSON Web Tokens och verifiera deras signaturer (HS256, RS256, ES256, EdDSA) helt i din webbläsare med Web Crypto API.
Så här fungerar det
JWT-avkodaren avkodar JSON Web Token-tokens och verifierar deras struktur utan att känna till signeringsnyckeln — användbar för att felsöka autentiseringsproblem och inspektera nyttolastinnehåll.
Klistra in en JWT-token i inmatningsfältet. Verktyget bryter omedelbart ner token i tre delar: Rubrik (algoritm och tokentyp), Nyttolast (claims: sub, iat, exp och andra) och Signatur (för serververifiering).
Fälten exp och iat konverteras från Unix-tidsstämplar till läsbara datum. Claims-sektionen visar alla kodade data.
Obs: Det här verktyget avkodar, inte verifierar. Det kontrollerar inte den kryptografiska signaturen — det är avsett för inspektion och felsökning, inte produktionsvalidering.
Användningsfall
- Felsöka autentiseringsbuggar i en webb- eller mobilapp genom att inspektera exakt vilka claims en token innehåller
- Verifiera att en utgången eller manipulerad token korrekt avvisas av din auktoriseringslogik
- Kontrollera att din identitetsleverantör signerar tokens med rätt nyckel och algoritm
- Lära ut JWT-struktur, claims och vanliga misstag (alg none, key confusion, saknad exp) med ett riktigt exempel
- Snabb triage av en produktionsincident där en token avvisas av en nedströmstjänst
Vanliga frågor
- Verifierar verktyget JWT-signaturen?
- Nej — det avkodar bara strukturen. Signaturverifiering kräver den hemliga/offentliga nyckeln på serversidan.
- Skickas min token till en server?
- Nej — avkodning sker lokalt i webbläsaren.
- Varför visas exp som ett datum?
- exp och iat är Unix-tidsstämplar — verktyget konverterar dem till läsbara datum för bekvämlighet.
- Vad händer om min JWT är ogiltig?
- Verktyget visar ett fel som identifierar problemet (t.ex. saknade segment eller ogiltig Base64).
- Kan jag avkoda JWE (krypterade tokens)?
- Nej — bara JWS-tokens (signerade). Krypterade JWE kräver en nyckel för dekryptering.