iss — issuer (किसने token बनाया) sub — subject (वह user/account जिसे यह represent करता है) aud — audience (किसे इसे accept करना चाहिए) exp — expiry (Unix timestamp) iat — issued-at (Unix timestamp) nbf — not-valid-before (Unix timestamp)

JWT Decoder

एक JWT paste करें ताकि उसके header और payload को decode किया जा सके। सारा decoding आपके browser में चलता है — tokens कभी page नहीं छोड़ते।

JWT

Header

परिणाम देखने के लिए ऊपर इनपुट डालें।

Payload

परिणाम देखने के लिए ऊपर इनपुट डालें।

Signature (base64url, not verified)

परिणाम देखने के लिए ऊपर इनपुट डालें।

This tool decodes only — it does not verify the signature against a key. Treat decoded payload as untrusted until verified.

JXXR1 द्वारा बनाया गया · ♥ स्पॉन्सर करें · ☕ मुझे coffee दिलाएं

यह किसके लिए है?

एक JWT (JSON Web Token) तीन base64url-encoded हिस्से हैं जो dots से जुड़े हैं: header.payload.signature. Header और payload JSON objects हैं जिनकी जाँच की जा सकती है; signature यह सिद्ध करता है कि issuance के बाद token में छेड़छाड़ नहीं हुई। यह टूल पहले दो हिस्सों को decode करता है ताकि आप base64 के शोर के बिना अंदर क्या है यह देख सकें — auth flows, expired sessions, या "यह token वास्तव में किस user के लिए है?" debug करते समय उपयोगी।

कब इस्तेमाल करें

एक OAuth / OpenID Connect login को debug करना जो fail हो रहा है — access या ID token paste करें, देखें IdP ने वास्तव में क्या जारी किया।
Token expiry की पुष्टि करना: टूल exp को असली date के रूप में decode करता है और यदि वह अतीत में है तो flag लगाता है।
Backend द्वारा assert किए जा रहे custom claims की जाँच करना (roles, permissions, tenant IDs)।
एक token पढ़ना जिसे आपकी library ने "invalid" बताया है ताकि देखा जा सके कि समस्या structural है, expiry है, या signature की है।

आम claims

iss — issuer (किसने token बनाया)
sub — subject (वह user/account जिसे यह represent करता है)
aud — audience (किसे इसे accept करना चाहिए)
exp — expiry (Unix timestamp)
iat — issued-at (Unix timestamp)
nbf — not-valid-before (Unix timestamp)

आम गलतियाँ

एक decoded JWT verified JWT नहीं है। Signature यहाँ check नहीं की जाती — इसके लिए issuer की public key (RSA/EC) या shared secret (HMAC) चाहिए। Decoded contents आपको बताते हैं कि token क्या कहता है, यह नहीं कि आपको उस पर भरोसा करना चाहिए या नहीं। Claims को सम्मान देने से पहले हमेशा server पर verify करें।
Production tokens कहीं भी paste न करें। Live JWT वाला कोई भी व्यक्ति exp तक user की पहचान धारण कर सकता है। Browser इसे इस टूल से transmit नहीं करता, लेकिन extensions, screen-recordings, और dev tools कर सकते हैं। यदि आपको साझा करना है तो test environment से एक fresh token का उपयोग करें।
alg: none tokens एक ज्ञात attack class हैं। यदि किसी header में alg: none है और आपकी library इसे accept करती है, तो हमलावर tokens forge कर सकते हैं। इसे server पर reject करें।
Time skew मायने रखता है। Token का exp verifier की घड़ी के विरुद्ध check किया जाता है। Drift वाले servers ऐसे tokens fail कर देते हैं जो यहाँ valid दिखते हैं।