A JWT (JSON Web Token) is a compact, self-contained token consisting of three Base64URL-encoded parts: a header (algorithm), a payload (claims), and a signature. It is used for authentication and secure data exchange between parties.

How do I decode a JWT without a library?

Paste the JWT into this tool and it instantly displays the decoded header, payload, and signature. No library or server needed — decoding happens entirely in your browser.

Does decoding a JWT verify its signature?

Decoding reads the payload without verifying the signature. Signature verification requires the secret or public key. This tool shows you the claims inside the token; use server-side code to verify signatures in production.

Is it safe to paste a JWT into an online tool?

DevToys Web Pro processes your JWT entirely in your browser — no data is sent to any server. This makes it safe for inspecting production tokens during debugging.

Codificador / descodificador JWT

Configuració

Mode
Descodifica

Avís de seguretatPer a la vostra protecció, tota la depuració i validació de JWT es fa al navegador. Aneu amb compte on enganxeu o compartiu JWT, ja que poden contenir informació sensible.

JWT

Parts codificades per colors:

Capçalera

Càrrega útil

Signatura

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

Configuració de validació

Valida la signatura

Desactivat

Valida la vigència

Desactivat

Valida l'emissor

Desactivat

Valida l'audiència

Desactivat

Detalls tècnics

Com funciona el codificador/descodificador JWT

Què fa l’eina

El descodificador JWT analitza i mostra el contingut dels JSON Web Tokens, desglossant els components de capçalera, càrrega útil i signatura per a inspecció i depuració. Aquest analitzador jwt processa tokens JWT i presenta la informació descodificada en un format llegible, ajudant els desenvolupadors a entendre l’estructura i el contingut del token. Quan necessiteu descodificar jwt en línia o inspeccionar tokens jwt d’API, sistemes d’autenticació o capçaleres d’autorització, aquesta eina ofereix una anàlisi immediata del token. El descodificador de json web token revela claims, temps de caducitat, informació de l’emissor i altres metadades incrustades als tokens. Aquest visor jwt funciona completament al vostre navegador, garantint que els tokens no es transmeten mai a servidors externs. El depurador jwt ajuda a identificar problemes de format del token, tokens caducats o valors de claims inesperats que podrien causar problemes d’autenticació.

Casos d’ús habituals per a desenvolupadors

Els desenvolupadors utilitzen descodificadors JWT quan resolen problemes d’autenticació, analitzen respostes d’API que contenen tokens o entenen implementacions de seguretat basades en tokens. La funcionalitat jwt en línia és essencial quan es depuren sistemes de single sign-on (SSO), s’implementen fluxos OAuth o es treballa amb microserveis que utilitzen JWT per a la comunicació entre serveis. Molts desenvolupadors necessiten analitzar tokens jwt quan construeixen middleware d’autenticació, implementen lògica de renovació de tokens o validen claims del token en sistemes d’autorització. El codificador jwt ajuda quan es creen tokens de prova, s’implementa lògica de generació de tokens o s’entén com es construeixen els tokens. La descodificació JWT és valuosa per a auditories de seguretat, monitoratge de caducitat de tokens o anàlisi de tokens rebuts de proveïdors d’identitat de tercers. El validador jwt ajuda a entendre per què pot fallar la validació del token o quins claims estan disponibles per a decisions d’autorització.

Formats, tipus o variants de dades

Els tokens JWT consten de tres parts codificades en Base64 separades per punts: capçalera, càrrega útil i signatura. El descodificador de capçalera jwt revela informació de l’algorisme (com HS256, RS256, ES256) i el tipus de token, mentre que el visor de càrrega útil jwt mostra claims incloent-hi claims estàndard (iss, sub, aud, exp, iat) i claims personalitzats específics de l’aplicació. Diferents algorismes JWT utilitzen diversos mètodes de signatura: els algorismes HMAC utilitzen secrets compartits, els algorismes RSA utilitzen parells de claus pública/privada i els algorismes ECDSA utilitzen criptografia de corba el·líptica. L’inspector jwt mostra marques de temps de caducitat (exp), emès a (iat) i no abans de (nbf) que controlen els períodes de validesa del token. Alguns tokens inclouen claims d’audiència (aud) que restringeixen l’ús del token a aplicacions o serveis específics. El procés de descodificació gestiona tant formats de claims estàndard com personalitzats, mostrant objectes i arrays imbricats dins de la càrrega útil del token.

Errors habituals i casos límit

Quan utilitzeu descodificadors JWT, recordeu que descodificar només revela el contingut del token i no valida signatures ni verifica l’autenticitat del token. El descodificador de tokens jwt no pot determinar si un token és vàlid, està caducat o està signat correctament sense accés a la clau de signatura o a la lògica de validació. Els tokens malformats amb codificació Base64 no vàlida o components absents provocaran errors de descodificació. Alguns tokens poden contenir informació sensible en claims que no s’hauria de registrar ni mostrar en eines de desenvolupament. El procés d’analitzar jwt ha de considerar que el contingut del token no està xifrat, només codificat, de manera que mai no s’haurien d’emmagatzemar dades sensibles a les càrregues útils JWT. La desincronització de rellotges entre sistemes pot afectar la interpretació de marques de temps, fent que els tokens semblin caducats o encara no vàlids. Valideu sempre els tokens de manera programàtica en sistemes de producció en lloc de basar-vos només en la inspecció visual del contingut descodificat.

Quan utilitzar aquesta eina vs codi

Utilitzeu aquest descodificador JWT basat en el navegador per a una inspecció ràpida de tokens, resoldre problemes d’autenticació durant el desenvolupament o entendre l’estructura del token quan us integreu amb noves API. És ideal per analitzar tokens durant sessions de depuració, aprendre sobre l’estructura JWT o verificar claims del token sense escriure codi. Per a aplicacions en producció, utilitzeu biblioteques JWT específiques del vostre llenguatge de programació (com jsonwebtoken per a Node.js, PyJWT per a Python o java-jwt per a Java) que proporcionen validació segura de tokens, verificació de signatures i extracció de claims. Les solucions programàtiques permeten el processament automatitzat de tokens, la integració amb middleware d’autenticació i la validació segura de tokens amb una gestió adequada de claus. Utilitzeu eines del navegador per al desenvolupament i la depuració, però implementeu la gestió JWT basada en codi per a aplicacions que necessiten validació segura de tokens, renovació automatitzada de tokens o integració amb proveïdors d’identitat i sistemes d’autorització.