Monu Tools

فاكّ ترميز JWT

فُكّ ترميز رمز JSON Web Token لفحص رأسه وحمولته، مع أوقات انتهاء وإصدار بصيغة مقروءة. يعمل بالكامل داخل متصفحك، ولا تُرفع الرموز أبداً.

كيفية استخدام فاكّ ترميز JWT

  1. 01

    الصق JWT بالصيغة header.payload.signature.

  2. 02

    اقرأ الرأس والحمولة المفكوكين على هيئة JSON منسق.

  3. 03

    تحقق من أوقات الانتهاء والإصدار، وما إذا كان الرمز قد انتهت صلاحيته.

What a JWT decoder shows you

A JSON Web Token has three parts separated by dots: a Base64URL-encoded header, a Base64URL-encoded payload, and a signature. This decoder splits and decodes the first two parts instantly in your browser, so you can read what a token actually contains.

The most common use is inspecting a token an API returned: who issued it (iss), when it expires (exp), what permissions it carries (scope or roles), and whether it has already expired.

How the decoding works

The tool takes the header and payload segments and decodes their Base64URL contents back into readable JSON. Nothing is sent anywhere: the split and decode happen locally the moment you paste a token.

Reading expiry and timestamps

The expiry is shown in readable local time, not a raw Unix timestamp, so you can see at a glance whether the token is still valid. The same applies to other time claims like iat and nbf, which become dates you can actually interpret.

Decoding is not verifying

This tool decodes and displays, it does not verify the signature against a secret key. Anyone can read a JWT payload without a key, because only the signature is protected, not the contents.

For signature verification you need the signing secret or public key, which should never be entered into a browser-based tool. Do not paste secrets here.

Privacy

The token never leaves your device. All decoding runs in your browser, so nothing you paste is uploaded or stored.

الأسئلة الشائعة

هل يتحقق من التوقيع؟

لا. يفك ترميز الرأس والحمولة ويعرضهما. يتطلب التحقق من التوقيع سرّ التوقيع أو المفتاح العام، وهو ما لا ينبغي لصقه في أي أداة على الويب.

ما الفرق بين فكّ الترميز والتحقق؟

يقرأ فكّ الترميز الرأس والحمولة المُرمَّزين بـ Base64url، وهما غير مشفّرين. أما التحقق فيعيد حساب التوقيع باستخدام المفتاح لإثبات أن الرمز أصيل وغير معدَّل.

هل من الآمن لصق رمزي هنا؟

يجري فكّ الترميز بالكامل داخل متصفحك، فلا يُرفع الرمز. ومع ذلك، تعامل مع الرموز الفعلية كأسرار وتجنب لصقها على الأجهزة المشتركة.

ماذا تعني exp وiat وnbf؟

هي مطالبات قياسية: iat هو وقت الإصدار، وnbf هو وقت بدء الصلاحية، وexp هو وقت الانتهاء. يحوّل فاكّ الترميز هذه الطوابع الزمنية بنظام Unix إلى وقت محلي مقروء.

هل يمكنني فكّ ترميز رمز منتهي الصلاحية؟

نعم. لا يغيّر الانتهاء طريقة فكّ ترميز الرمز، فيمكنك فحص مطالبات رمز منتهٍ ومعرفة وقت انقضائه بالضبط.

لماذا تكون حمولتي مقروءة بدون مفتاح؟

إن JWT موقَّع وليس مشفّراً. الحمولة مُرمَّزة بـ Base64url فقط، فيستطيع أي شخص قراءتها. لا تضع أبداً أسراراً في حمولة JWT.

المصادر

ضمّن هذه الأداة

أضف هذه الأداة إلى موقعك الخاص. انسخ المقتطف أدناه، ويبقى محدّثاً تلقائياً.

<iframe src="https://monu.tools/embed/ar/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

أدوات ذات صلة