פענחו JSON Web Token כדי לבחון את הכותרת (header) והמטען (payload) שלו, עם זמני תפוגה והנפקה בפורמט קריא. הכול פועל בדפדפן שלכם; אסימונים לעולם לא מועלים.
כיצד להשתמש במפענח JWT
הדביקו JWT בצורה header.payload.signature.
קראו את הכותרת והמטען המפוענחים כ-JSON מעוצב.
בדקו את זמני התפוגה וההנפקה, והאם האסימון פג תוקף.
A JSON Web Token has three parts separated by dots: a Base64URL-encoded header, a Base64URL-encoded payload, and a signature. This decoder splits and decodes the first two parts instantly in your browser, so you can read what a token actually contains.
The most common use is inspecting a token an API returned: who issued it (iss), when it expires (exp), what permissions it carries (scope or roles), and whether it has already expired.
The tool takes the header and payload segments and decodes their Base64URL contents back into readable JSON. Nothing is sent anywhere: the split and decode happen locally the moment you paste a token.
The expiry is shown in readable local time, not a raw Unix timestamp, so you can see at a glance whether the token is still valid. The same applies to other time claims like iat and nbf, which become dates you can actually interpret.
This tool decodes and displays, it does not verify the signature against a secret key. Anyone can read a JWT payload without a key, because only the signature is protected, not the contents.
For signature verification you need the signing secret or public key, which should never be entered into a browser-based tool. Do not paste secrets here.
The token never leaves your device. All decoding runs in your browser, so nothing you paste is uploaded or stored.
שאלות נפוצות
לא. הוא מפענח ומציג את הכותרת והמטען. אימות החתימה דורש את סוד החתימה או את המפתח הציבורי, שאותם אין להדביק בשום כלי אינטרנטי.
פענוח קורא את הכותרת והמטען המקודדים ב-Base64url, שאינם מוצפנים. אימות מחשב מחדש את החתימה עם המפתח כדי להוכיח שהאסימון אמיתי ולא שונה.
הפענוח מתבצע כולו בדפדפן שלכם, כך שהאסימון אינו מועלה. עם זאת, התייחסו לאסימונים פעילים כאל סודות והימנעו מהדבקתם במחשבים משותפים.
אלה תביעות (claims) סטנדרטיות: iat הוא זמן ההנפקה, nbf הוא לא-תקף-לפני, ו-exp הוא זמן התפוגה. המפענח ממיר את חותמות הזמן של Unix לזמן מקומי קריא.
כן. תפוגה אינה משנה את אופן פענוח האסימון, כך שאפשר לבחון את התביעות של אסימון שפג ולראות בדיוק מתי פקע.
JWT הוא חתום, לא מוצפן. המטען מקודד רק ב-Base64url, כך שכל אחד יכול לקרוא אותו. לעולם אל תכניסו סודות למטען של JWT.
הטמע את הכלי הזה
הוסף את הכלי הזה לאתר שלך. העתק את קטע הקוד שלהלן; הוא מתעדכן אוטומטית.
<iframe src="https://monu.tools/embed/he/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>כלים קשורים
קודדו טקסט ל-Base64 או פענחו Base64 בחזרה לטקסט. בטוח ל-UTF-8 עם זיהוי כיוון אוטומטי.
קודדו ופענחו כתובות URL ורכיבי URL בקידוד אחוזים, עם תמיכה בטוחה ב-UTF-8.
צרו ערכי Hash מסוג SHA-1, SHA-256, SHA-384 ו-SHA-512 לכל טקסט, ישירות בדפדפן שלכם.
צרו HMAC עבור הודעה ומפתח סודי באמצעות SHA-1, SHA-256, SHA-384 או SHA-512, בדפדפן שלכם.