Decodor JWT
Lipește un token și citește instant header-ul și payload-ul, cu algoritmul, data emiterii și statusul de expirare. Totul rulează în browserul tău.
Semnătura nu este verificată niciodată aici. Un JWT decodat nu este un JWT de încredere — verifică întotdeauna semnătura pe server cu secretul sau cheia ta publică înainte de a te baza pe vreun claim.
Rulează în browserul tău. Ce introduci nu este încărcat pe PayloadIQ.
Decodorul JWT desface un token în cele trei segmente Base64URL și decodează primele două — header-ul și payload-ul — direct în browserul tău, fără să trimită nimic la vreun server. Vezi algoritmul de semnare, toate claims-urile și timestampuri lizibile pentru iat și exp, plus o etichetă care îți spune dacă token-ul a expirat. Semnătura rămâne neatinsă: decodarea îți arată conținutul, nu confirmă că poți avea încredere în el.
Cum funcționează
Un JWT este format din trei părți separate prin puncte: un header cu metadate, un payload cu claims și o semnătură. Instrumentul împarte token-ul la puncte și decodează din Base64URL primele două segmente, apoi le afișează ca JSON formatat, cu indentare. În plus extrage câmpul alg din header și transformă claims-urile iat și exp din timestampuri Unix în date pe care le poți citi, marcând token-ul ca VALID sau EXPIRAT. Lipești token-ul, apeși Decode și ai totul în față — fără instalare, fără cont.
Decodare nu înseamnă verificare
Acesta este punctul de reținut: oricine poate citi payload-ul unui JWT, fiindcă este doar Base64, nu criptat. Statusul exp afișat aici este pur informativ, iar semnătura nu este verificată niciodată în browser — un token decodat nu este un token în care poți avea încredere. Folosește instrumentul ca să inspectezi rapid ce trimite frontendul, să depanezi un login sau să vezi de ce un token e respins, dar validează întotdeauna semnătura pe server, cu cheia secretă sau publică, înainte să te bazezi pe vreun claim.