JWT-dekodering bruges til at se tokenindhold, hjælpe udviklere med at fejlfinde godkendelsesproblemer, analysere brugerrettigheder, kontrollere udløbstider og andre nøgleoplysninger.
JWT består af tre dele: Header (hoved), Payload (last) og Signature (signatur), adskilt af punktummer. De første to dele kan direkte dekodes med Base64.
Header indeholder tokentypen (typ) og signaturalgoritmen (alg), f.eks. '{"typ":"JWT","alg":"HS256"}', hvilket angiver, hvordan tokenet skal verificeres.
Payload indeholder erklæringsinformation som bruger-ID (sub), udløbstid (exp), udstedelsestid (iat) og andre standarderklæringer samt brugerdefinerede data.
exp-feltet repræsenterer udløbstidspunktet, som kan bruges til hurtigt at afgøre, om tokenet er udløbet, og undgå at bruge ugyldige tokens til anmodninger.
Dekodering viser kun tokenindholdet og validerer ikke signaturens gyldighed. I produktionsmiljøer skal signaturen også verificeres for at sikre, at tokenet ikke er blevet ændret.