Monu Tools

JWT-dekoder

Dekod en JSON Web Token for å inspisere header og payload, med lesbare utløps- og utstedelsestider. Kjører helt i nettleseren din. Tokens lastes aldri opp.

Slik bruker du JWT-dekoder

  1. 01

    Lim inn en JWT på formen header.payload.signature.

  2. 02

    Les den dekodede headeren og payloaden som formatert JSON.

  3. 03

    Sjekk utløps- og utstedelsestidene, og om token er utløpt.

Ofte stilte spørsmål

Verifiserer den signaturen?

Nei. Den dekoder og viser header og payload. Å verifisere signaturen krever signeringshemmeligheten eller den offentlige nøkkelen, som du ikke bør lime inn i noe nettverktøy.

Hva er forskjellen mellom dekoding og verifisering?

Dekoding leser den Base64url-kodede headeren og payloaden, som ikke er kryptert. Verifisering beregner signaturen på nytt med nøkkelen for å bevise at token er autentisk og uendret.

Er det trygt å lime inn token mitt her?

Dekoding skjer helt i nettleseren din, så token lastes ikke opp. Behandle likevel aktive tokens som hemmeligheter og unngå å lime dem inn på delte datamaskiner.

Hva betyr exp, iat og nbf?

Det er standardkrav: iat er utstedt-tidspunkt, nbf er ikke-gyldig-før, og exp er utløpstiden. Dekoderen konverterer disse Unix-tidsstemplene til lesbar lokal tid.

Kan jeg dekode et utløpt token?

Ja. Utløp endrer ikke hvordan et token dekodes, så du kan inspisere kravene til et utløpt token og se nøyaktig når det gikk ut.

Hvorfor er payloaden min lesbar uten en nøkkel?

En JWT er signert, ikke kryptert. Payloaden er bare Base64url-kodet, så hvem som helst kan lese den. Legg aldri hemmeligheter i en JWT-payload.

Om dette verktøyet

En JSON Web Token har tre deler atskilt med punktum: en Base64url-kodet header, en Base64url-kodet payload, og en signatur. Denne dekoderen deler opp og dekoder de to første delene umiddelbart i nettleseren din, og token forlater aldri enheten din.

Den vanligste bruken er å inspisere et token et API returnerte: hvem som utstedte det (iss), når det utløper (exp), hvilke tillatelser det bærer (scope eller roller), og om det allerede er utløpt. Utløpet vises i lesbar lokal tid, ikke et rått Unix-tidsstempel, så du kan se med ett blikk om token fortsatt er gyldig.

Merk: dette verktøyet dekoder og viser, det verifiserer ikke signaturen mot en hemmelig nøkkel. For signaturverifisering trenger du signeringshemmeligheten eller den offentlige nøkkelen, som aldri bør skrives inn i et nettleserbasert verktøy.

Relaterte verktøy

Hash-generator

Lag SHA-1-, SHA-256-, SHA-384- og SHA-512-hasher av hvilken som helst tekst, direkte i nettleseren din.

Fargekonverterer

Konverter farger mellom HEX, RGB og HSL med en sanntids forhåndsvisning.

Tidsstempel

Konverter Unix-tidsstempler til menneskelige datoer og tilbake: UTC, lokal, ISO 8601 og relativ tid. Sekunder og millisekunder oppdages automatisk.

URL-koder

Prosent-kode og dekode URL-er og URL-komponenter, UTF-8-trygt.