JWT-dekooderi – Pura ja tarkastele JWT-tokeneita selaimessa
JWT-dekooderi purkaa JSON Web Token -tokenit ja näyttää header-, payload- ja signature-osat selkeästi. Toimii täysin selaimessa — token ei lähde palvelimelle.
Liitä JWT-token kenttään ja näet välittömästi tokenin sisällön: käyttäjätiedot, voimassaoloajan (exp), myöntäjän (iss) ja muut claim-kentät. Hyödyllinen kehittäjille API-integraatioiden debuggaukseen.
Mikä on JWT-token ja miten se toimii?
JWT (JSON Web Token) on kompakti tapa välittää tietoa turvallisesti osapuolten välillä. Se koostuu kolmesta Base64-enkoodatusta osasta pistein erotettuna: header (algoritmi), payload (data/claims) ja signature (allekirjoitus). Payload on luettavissa ilman salausavainta — älä koskaan tallenna salasanoja tai arkaluonteista dataa JWT:hen, sillä se on vain enkoodattu, ei salattu.
Ladataan työkalua...
Etkö tiedä mihin ryhtyä seuraavaksi?
Katso kaikki Ratkaisut →JWT-dekooderi purkaa JSON Web Token -merkkijonon luettaviin osiin ilman salausavainta. Kätevä työkalu kehittäjille, jotka tarkistavat tokenin sisältöä ja voimassaoloa.
Syötä JWT-merkkijono, niin työkalu näyttää sen header-, payload- ja signature-osat luettavassa muodossa.
- Pura JWT:n header ja payload selkokielisiksi JSON-objekteiksi.
- Tarkista tokenin voimassaoloaika (exp), myöntäjä (iss) ja muut kentät.
- Kopioi yksittäiset kentät leikepöydälle jatkokäyttöä varten.
Dekooderi näyttää tokenin sisällön, mutta ei varista allekirjoituksen oikeellisuutta.
- Payload-osa ei ole salattu – kuka tahansa voi lukea sen ilman avainta.
- Allekirjoituksen vahvistaminen vaatii salaisen avaimen, jota tämä työkalu ei käytä.
- Aikakenttien (exp, iat, nbf) arvot ovat Unix-aikaleimoja – työkalu muuntaa ne luettaviksi.
JWT sisältää usein arkaluonteista tietoa – käsittele tokeneita huolellisesti.
- Älä jaa tuotantoympäristön tokeneita julkisiin palveluihin.
- Dekoodaus tapahtuu kokonaan selaimessa – dataa ei lähetetä palvelimelle.
- Vanhentunut tai väärennetty token ei läpäise palvelinpuolen tarkistusta.