JWT:n dekoodausta käytetään tunnuksen sisällön tarkasteluun, auttaen kehittäjiä virheenetsinnässä, käyttöoikeuksien analysoinnissa ja vanhenemisajan tarkistuksessa.
JWT koostuu otsikosta (Header), kuormasta (Payload) ja allekirjoituksesta (Signature), jotka on erotettu pisteillä. Kaksi ensimmäistä osaa voidaan dekoodata suoraan Base64:llä.
Otsikko sisältää tunnuksen tyypin (typ) ja allekirjoitusalgoritmin (alg), esim. '{"typ":"JWT","alg":"HS256"}', joka osoittaa, miten tunnus vahvistetaan.
Kuorma sisältää väitteitä, kuten käyttäjätunnuksen (sub), vanhenemisajan (exp), myöntämisajan (iat) jne. standardiväitteitä ja mukautettuja tietoja.
exp-kenttä ilmaisee vanhenemisajan aikaleimana, jonka avulla voidaan nopeasti määrittää, onko tunnus vanhentunut, välttäen virheellisten tunnusten käyttöä pyynnöissä.
Dekoodaus näyttää vain tunnuksen sisällön, ei vahvista allekirjoituksen kelpoisuutta. Tuotantoympäristöissä allekirjoitus on myös vahvistettava varmistaakseen, että tunnusta ei ole muutettu.