> base64 decoder | paste | decode <

Klistra in Base64-strängen i INDATA-området ovan — avkodaren körs automatiskt medan du skriver (automatisk avkodning är aktiverad som standard). Den avkodade texten visas omedelbart i UTDATA-området. Du kan också klicka uttryckligen på [DECODE] eller använda Ctrl/Cmd + Enter. Allt körs lokalt i din webbläsare; ingenting skickas till en server, så det är säkert att klistra in JWT-tokens, OAuth-state eller konfidentiella nyttolaster.

Alla. Avkodaren identifierar automatiskt och accepterar:
• Standard-Base64 (RFC 4648) — alfabet A-Z a-z 0-9 + / med =-utfyllnad.
• URL-säker Base64 (RFC 4648 §5) — alfabet med - och _ i stället för + och /. Används av JWT, OAuth, Googles API:er och AWS S3-försignerade URL:er.
• Oupplyst Base64 — de avslutande =-tecknen utelämnas. Vanligt i JWT, där en avkodare måste lägga till utfyllnad automatiskt.
• Tolerant mot blanksteg — radbrytningar, tabbar och mellanslag inuti Base64-strängen tas bort före avkodning (hanterar MIME-radbruten 76-kolumnersutdata från e-postkroppar).

Det identifierade formatet visas som en bricka under knapparna, så att du vet vilken variant avkodaren har klassificerat din indata som.

De flesta avkodningsfel har en av dessa fem orsaker:

1. Indatan är egentligen inte Base64. Många förväxlar Base64 med hex, Base32 eller URL-kodning. Base64 använder bara A-Z a-z 0-9 + / = (eller - _ för URL-säker). Om strängen innehåller %20 är det procentkodning; om den enbart består av 0-9 a-f är det förmodligen hex.

2. Avkortning. Base64-längden måste vara en multipel av 4 efter utfyllnad. En kopiering som tappar de avslutande == orsakar fel om "ogiltig längd". Den här avkodaren fyller ut automatiskt, men kraftigt avkortade strängar misslyckas ändå.

3. Blandad URL-säker och standard. Om +/-_ alla förekommer är strängen tvetydig och troligen skadad. Endast en variant bör användas.

4. Dubbelkodning. Ibland kodas en sträng i Base64 två gånger. En avkodning ger obegripliga tecken som i sig är Base64. Avkoda igen för att få den slutliga texten.

5. UTF-8-kodning av originaltexten. Base64 avkodas till byte. Om originalbyten inte är giltig UTF-8 (t.ex. rå binärdata som en krypterad blob eller en PNG) kommer den avkodade utdatan att se ut som mojibake. Det är förväntat — använd ett Base64-till-fil-verktyg i stället.

En JWT har tre delar åtskilda av punkter: header.payload.signature. Alla tre är URL-säker Base64 utan utfyllnad. Så här inspekterar du nyttolasten:

1. Kopiera det mittersta segmentet (mellan de två punkterna).
2. Klistra in det i avkodaren ovan. Automatisk avkodning hanterar det URL-säkra alfabetet och lägger till saknad utfyllnad.
3. Du får JSON-nyttolasten med claims som iss, sub, exp, iat.

Signaturen (tredje segmentet) är en binär HMAC- eller RSA-utdata — att avkoda den som text ger obegripliga tecken, vilket är förväntat. För en fullständig JWT-inspektör med signaturverifiering, använd vår dedikerade JWT-avkodare.

Säkerhetsanmärkning: att avkoda en JWT verifierar den inte. Vem som helst kan läsa en JWT-nyttolast — det är avsiktligt. Signaturen bevisar att token kom från utfärdaren; den verifieras separat med utfärdarens publika nyckel eller delade hemlighet.

Ja — alla större plattformar levereras med en Base64-avkodare. När det här onlineverktyget är för långsamt att klistra in i, använd:

macOS / Linux (bash/zsh):
echo 'SGVsbG8=' | base64 -d — ger Hello. Använd -D på macOS om -d inte fungerar. För URL-säker indata, pipa först genom tr '_-' '/+'.

Windows PowerShell:
[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String('SGVsbG8='))

Python:
import base64
base64.b64decode('SGVsbG8=').decode('utf-8') # Hello
base64.urlsafe_b64decode(s + '===').decode() # URL-säker med auto-pad

Node.js:
Buffer.from('SGVsbG8=', 'base64').toString('utf-8')

Webbläsarens DevTools:
atob('SGVsbG8=') — fungerar i valfri konsol. För UTF-8-strängar, kapsla in med new TextDecoder().decode(Uint8Array.from(atob(s), c => c.charCodeAt(0))).

PHP: base64_decode('SGVsbG8=')
Ruby: Base64.decode64('SGVsbG8=')
Go: base64.StdEncoding.DecodeString("SGVsbG8=")

Ja — den här avkodaren är säkrare än serverbaserade verktyg eftersom ingenting lämnar din webbläsare. Avkodningen sker helt i JavaScript på din enhet via de inbyggda API:erna atob() och TextDecoder. Det finns inget nätverksanrop, ingen uppladdning, ingen loggning, ingen analys av indatainnehållet. Du kan verifiera detta själv genom att öppna fliken Nätverk i webbläsarens DevTools under avkodning — du kommer att se noll förfrågningar.

Med det sagt är Base64 inte kryptering — det är bara kodning. Vem som helst med Base64-strängen kan avkoda den. Så även om det här verktyget är säkert bör du ändå:
• Aldrig dela skärmbilder av avkodade JWT:er som inte har gått ut ännu.
• Rotera autentiseringsuppgifter som läcker någonstans (loggar, skärmbilder, delad chatt).
• Behandla avkodad OAuth-state, CSRF-tokens och sessions-ID:n som hemligheter tills de ogiltigförklaras.

För företags-/reglerade miljöer där till och med Base64-strängen är känslig kan du spara den här sidan offline (Cmd/Ctrl + S) — den fungerar helt isolerad efter en enda inläsning, eftersom avkodningslogiken är ren JavaScript.

En Data-URI följer syntaxen data:[<mediatype>][;base64],<data>. Så här avkodar du bara nyttolasten:

1. Hitta kommatecknet. Allt före det är metadata (data:image/png;base64), allt efter är den Base64-kodade filen.
2. Kopiera endast delen efter kommatecknet till den här avkodaren.
3. För binärt innehåll (PNG, JPG, PDF) blir den avkodade utdatan rå byte — textåtergivning visar mojibake. Det är förväntat.
4. För att visa en Data-URI-bild, klistra in hela data:...-URI:n i webbläsarens adressfält — webbläsaren avkodar och återger den direkt.
5. För att spara bildfilen, använd vårt dedikerade verktyg Base64 till bild, som hanterar hela Data-URI:n och laddar ner en PNG/JPG/WebP.

Data-URI:er förekommer ofta i: CSS-background-image-regler, infogade SVG-ikoner, bilder i e-postsignaturer, PDF-bilagor kodade i JSON-API-svar och ikonpaket för Electron-/VS Code-tillägg.

Kodning tar godtycklig binär data eller textdata och producerar en ASCII-sträng som bara använder utskrivbara tecken — säker för transport över rena textkanaler (e-post, URL:er, JSON). Avkodning vänder på det: en ASCII-Base64-sträng blir originalbyten igen.

Viktiga egenskaper:
• Förlustfri tur och retur: decode(encode(x)) === x för alla byte-indata. Inga data går någonsin förlorade.
• Inte kryptering: Base64 ger ingen sekretess. Vem som helst kan avkoda det.
• Storleksoverhead: den kodade utdatan är ~33 % större än indatan (4 utdatabyte per 3 indatabyte).
• Användningsområden: JWT-tokens, MIME-e-postbilagor, HTTP Basic Auth-headers, OAuth-koder, S3-försignerade URL:er, infogade bilder i HTML/CSS.

Den här sidan är tillägnad avkodning. Om du behöver gå åt andra hållet (text/fil → Base64), använd vår Base64-kodare på startsidan, eller vår omvandlare Bild till Base64 för bildfiler.

Ja, inom webbläsarens minnesgränser. Avkodaren accepterar obegränsad indatalängd — vi har testat med 50 MB Base64-strängar (~37 MB avkodat) på moderna bärbara datorer. Prestanda:

• < 100 KB: omedelbart, ingen UI-fördröjning.
• 1 – 10 MB: avkodning tar ~50-500 ms beroende på CPU.
• 10 – 100 MB: webbläsaren kan frysa kortvarigt (2-10 s) eftersom atob är synkron. Inaktivera auto-decode först och klicka på [DECODE] manuellt.
• > 100 MB: du når webbläsarens minnesgränser. För Base64-filer i gigabyteskala, använd ett kommandoradsverktyg (base64 -d).

Om det avkodade innehållet är en binär fil (PNG, PDF, ZIP) visar textutdataområdet mojibake. För att ladda ner de avkodade byten som en fil, använd vårt verktyg Base64 till bild (hanterar bilder) eller kommandoradsmetoden: echo '<base64>' | base64 -d > output.bin.

Ja. När sidan har laddats en gång sker all avkodning på klientsidan i JavaScript — inget nätverk behövs. Så här gör du den helt offline:

1. Spara sidan: tryck på Ctrl+S (Windows/Linux) eller Cmd+S (macOS) och spara som "Webbsida, fullständig". Avkodaren fungerar från den sparade HTML-koden.
2. Installera som PWA (om det stöds): vissa webbläsare erbjuder "Installera den här appen" för base64.sh — det ger dig en genväg med offlineåtkomst.
3. Använd i DevTools: den inbyggda funktionen atob() fungerar i valfri webbläsarkonsol utan den här sidan. För en snabb avkodning: atob('SGVsbG8=').

Offlinedrift är användbart för: isolerad säkerhetsforskning, pentestlabb, företagsmiljöer med strikta regler för datautflöde och flyg/tåg utan internet.