Monu Tools

Descodificador JWT

Descodifica un JSON Web Token per inspeccionar la capçalera i el payload, amb hores d'emissió i caducitat llegibles. S'executa completament al teu navegador; els tokens no es pugen mai.

Com fer servir Descodificador JWT

  1. 01

    Enganxa un JWT amb la forma capçalera.payload.signatura.

  2. 02

    Llegeix la capçalera i el payload descodificats com a JSON formatat.

  3. 03

    Comprova les hores de caducitat i d'emissió, i si el token ha caducat.

Què et mostra un descodificador de JWT

Un JSON Web Token té tres parts separades per punts: una capçalera codificada en Base64URL, una càrrega útil codificada en Base64URL, i una signatura. Aquest descodificador divideix i descodifica les dues primeres parts a l'instant al teu navegador, així que pots llegir què conté de veritat un token.

L'ús més comú és inspeccionar un token que ha retornat una API: qui el va emetre (iss), quan caduca (exp), quins permisos porta (scope o roles), i si ja ha caducat.

Com funciona la descodificació

L'eina pren els segments de capçalera i càrrega útil i descodifica el seu contingut Base64URL de nou en JSON llegible. Res no s'envia enlloc: la divisió i la descodificació passen localment el moment que enganxes un token.

Llegir la caducitat i les marques de temps

La caducitat es mostra en hora local llegible, no una marca de temps Unix en brut, així que pots veure d'un cop d'ull si el token encara és vàlid. El mateix s'aplica a altres reclamacions de temps com iat i nbf, que esdevenen dates que pots interpretar de veritat.

Descodificar no és verificar

Aquesta eina descodifica i mostra, no verifica la signatura contra una clau secreta. Qualsevol pot llegir una càrrega útil de JWT sense una clau, perquè només la signatura està protegida, no el contingut.

Per a la verificació de la signatura necessites el secret de signatura o la clau pública, que no s'haurien d'introduir mai en una eina basada en el navegador. No enganxis secrets aquí.

Privadesa

El token no surt mai del teu dispositiu. Tota la descodificació s'executa al teu navegador, així que res del que enganxes es puja ni es desa.

Preguntes freqüents

Verifica la signatura?

No. Descodifica i mostra la capçalera i la càrrega útil. Verificar la signatura requereix el secret de signatura o la clau pública, que no hauries d'enganxar a cap eina web.

Quina és la diferència entre descodificar i verificar?

La descodificació llegeix la capçalera i la càrrega útil en Base64url, que no estan xifrades. La verificació torna a calcular la signatura amb la clau per demostrar que el testimoni és autèntic i no s'ha modificat.

És segur enganxar el meu token aquí?

La descodificació es fa íntegrament al teu navegador, de manera que el testimoni no es puja enlloc. Tot i així, tracta els testimonis actius com a secrets i evita enganxar-los en ordinadors compartits.

Què signifiquen exp, iat i nbf?

Són reclamacions estàndard: iat és la data d'emissió, nbf és el no vàlid abans de, i exp és l'hora de caducitat. El descodificador converteix aquestes marques de temps Unix en una hora local llegible.

Puc descodificar un token caducat?

Sí. La caducitat no canvia com es descodifica un testimoni, així que pots inspeccionar les reclamacions d'un testimoni caducat i veure exactament quan va expirar.

Per què el meu payload és llegible sense una clau?

Un JWT està signat, no xifrat. La càrrega útil només està codificada en Base64url, de manera que qualsevol persona la pot llegir. No posis mai secrets en la càrrega útil d'un JWT.

Fonts

Incrusta aquesta eina

Afegeix aquesta eina al teu propi lloc web. Copia el fragment de sota; es manté actualitzat automàticament.

<iframe src="https://monu.tools/embed/ca/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Eines relacionades