Decode JSON Web Token untuk memeriksa pengepala dan payload-nya, dengan masa tamat tempoh dan masa pengeluaran yang boleh dibaca manusia. Berjalan sepenuhnya dalam pelayar anda; token tidak pernah dimuat naik.
Cara menggunakan Penyahkod JWT
Tampal JWT dalam bentuk header.payload.signature.
Baca pengepala dan payload yang didecode sebagai JSON terformat.
Semak masa tamat tempoh dan pengeluaran, serta sama ada token telah tamat tempoh.
Token Web JSON mempunyai tiga bahagian yang dipisahkan oleh titik: pengepala terkod Base64URL, muatan terkod Base64URL, dan tandatangan. Penyahkod ini memisah dan menyahkod dua bahagian pertama serta-merta dalam pelayar anda, jadi anda boleh membaca apa yang sebenarnya terkandung dalam token.
Kegunaan paling biasa ialah memeriksa token yang dikembalikan API: siapa yang mengeluarkannya (iss), bila ia tamat tempoh (exp), kebenaran apa yang dibawanya (scope atau roles), dan sama ada ia telah tamat tempoh.
Alat ini mengambil segmen pengepala dan muatan serta menyahkod kandungan Base64URL mereka kembali kepada JSON yang boleh dibaca. Tiada apa yang dihantar ke mana-mana: pemisahan dan penyahkodan berlaku secara setempat pada saat anda menampal token.
Tamat tempoh ditunjukkan dalam waktu tempatan yang boleh dibaca, bukan cap masa Unix mentah, jadi anda dapat melihat sekali pandang sama ada token masih sah. Perkara yang sama terpakai kepada tuntutan masa lain seperti iat dan nbf, yang menjadi tarikh yang benar-benar boleh anda tafsir.
Alat ini menyahkod dan memaparkan, ia tidak mengesahkan tandatangan berbanding kunci rahsia. Sesiapa boleh membaca muatan JWT tanpa kunci, kerana hanya tandatangan yang dilindungi, bukan kandungannya.
Untuk pengesahan tandatangan anda memerlukan rahsia penandatanganan atau kunci awam, yang tidak sepatutnya dimasukkan ke dalam alat berasaskan pelayar. Jangan tampal rahsia di sini.
Token tidak pernah meninggalkan peranti anda. Semua penyahkodan berjalan dalam pelayar anda, jadi tiada apa yang anda tampal dimuat naik atau disimpan.
Soalan lazim
Tidak. Ia mendecode dan memaparkan pengepala dan payload. Mengesahkan tandatangan memerlukan rahsia penandatanganan atau kunci awam, yang tidak patut anda tampal ke dalam mana-mana alat web.
Mendecode membaca pengepala dan payload Base64url, yang tidak disulitkan. Mengesahkan mengira semula tandatangan dengan kunci untuk membuktikan token adalah sahih dan tidak diubah.
Pendecoding berlaku sepenuhnya dalam pelayar anda, jadi token tidak dimuat naik. Walau bagaimanapun, layani token aktif sebagai rahsia dan elakkan menampalnya di komputer bersama.
Ia adalah tuntutan standard: iat adalah dikeluarkan-pada, nbf adalah tidak-sah-sebelum, dan exp adalah masa tamat tempoh. Penyahkod menukar timestamp Unix ini kepada masa tempatan yang boleh dibaca.
Ya. Tamat tempoh tidak mengubah cara token didecode, jadi anda boleh memeriksa tuntutan token yang tamat tempoh dan melihat dengan tepat bila ia luput.
JWT ditandatangani, bukan disulitkan. Payload hanya dikod dalam Base64url, jadi sesiapa boleh membacanya. Jangan sekali-kali meletakkan rahsia dalam payload JWT.
Benamkan alat ini
Tambah alat ini ke laman web anda sendiri. Salin coretan di bawah; ia kekal terkini secara automatik.
<iframe src="https://monu.tools/embed/ms/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Alat berkaitan
Encode teks ke Base64 atau decode Base64 kembali ke teks. Selamat untuk UTF-8 dengan pengesanan arah automatik.
Encode dan decode URL serta komponen URL dalam format persen, selamat untuk UTF-8.
Jana hash SHA-1, SHA-256, SHA-384 dan SHA-512 bagi sebarang teks, terus dalam pelayar anda.
Jana HMAC untuk mesej dan kunci rahsia menggunakan SHA-1, SHA-256, SHA-384 atau SHA-512, dalam pelayar anda.