Monu Tools

Dekoder JWT

Zdekoduj JSON Web Token, aby zbadać jego nagłówek i ładunek, z czytelnymi czasami wygaśnięcia i wydania. Działa w całości w Twojej przeglądarce, tokeny nigdy nie są przesyłane.

Jak korzystać z narzędzia Dekoder JWT

  1. 01

    Wklej JWT w postaci header.payload.signature.

  2. 02

    Odczytaj zdekodowany nagłówek i ładunek jako sformatowany JSON.

  3. 03

    Sprawdź czasy wygaśnięcia i wydania oraz to, czy token wygasł.

Co pokazuje dekoder JWT

Token JSON Web Token ma trzy części oddzielone kropkami: zakodowany w Base64URL nagłówek, zakodowany w Base64URL ładunek i podpis. Ten dekoder natychmiast dzieli i dekoduje dwie pierwsze części w Twojej przeglądarce, więc możesz odczytać, co token faktycznie zawiera.

Najczęstszym zastosowaniem jest podgląd tokena zwróconego przez API: kto go wystawił (iss), kiedy wygasa (exp), jakie uprawnienia niesie (scope lub roles) i czy już wygasł.

Jak działa dekodowanie

Narzędzie bierze segmenty nagłówka i ładunku i dekoduje ich zawartość Base64URL z powrotem na czytelny JSON. Nic nie jest nigdzie wysyłane: podział i dekodowanie odbywają się lokalnie w chwili wklejenia tokena.

Odczyt wygaśnięcia i znaczników czasu

Wygaśnięcie pokazywane jest w czytelnym czasie lokalnym, a nie jako surowy znacznik czasu Unix, więc na pierwszy rzut oka widzisz, czy token jest jeszcze ważny. To samo dotyczy innych deklaracji czasowych, takich jak iat i nbf, które stają się datami dającymi się faktycznie zinterpretować.

Dekodowanie to nie weryfikacja

To narzędzie dekoduje i wyświetla, nie weryfikuje podpisu względem tajnego klucza. Każdy może odczytać ładunek JWT bez klucza, ponieważ chroniony jest tylko podpis, a nie treść.

Do weryfikacji podpisu potrzebujesz tajnego klucza podpisującego lub klucza publicznego, którego nigdy nie należy wpisywać do narzędzia działającego w przeglądarce. Nie wklejaj tutaj sekretów.

Prywatność

Token nigdy nie opuszcza Twojego urządzenia. Całe dekodowanie działa w Twojej przeglądarce, więc nic z tego, co wkleisz, nie jest wysyłane ani przechowywane.

Najczęściej zadawane pytania

Czy weryfikuje podpis?

Nie. Dekoduje i wyświetla nagłówek i ładunek. Weryfikacja podpisu wymaga sekretu podpisującego lub klucza publicznego, którego nie powinieneś wklejać do żadnego narzędzia webowego.

Jaka jest różnica między dekodowaniem a weryfikacją?

Dekodowanie odczytuje nagłówek i ładunek w Base64url, które nie są zaszyfrowane. Weryfikacja ponownie oblicza podpis za pomocą klucza, aby udowodnić, że token jest autentyczny i niezmieniony.

Czy bezpiecznie jest wkleić tutaj mój token?

Dekodowanie odbywa się w całości w Twojej przeglądarce, więc token nie jest przesyłany. Mimo to traktuj aktywne tokeny jak sekrety i unikaj wklejania ich na współdzielonych komputerach.

Co oznaczają exp, iat i nbf?

To standardowe deklaracje: iat to czas wydania, nbf to czas, od którego token jest ważny, a exp to czas wygaśnięcia. Dekoder konwertuje te znaczniki czasu Unix na czytelny czas lokalny.

Czy mogę zdekodować wygasły token?

Tak. Wygaśnięcie nie zmienia sposobu dekodowania tokena, więc możesz zbadać deklaracje wygasłego tokena i zobaczyć dokładnie, kiedy stracił ważność.

Dlaczego mój ładunek jest czytelny bez klucza?

JWT jest podpisany, a nie zaszyfrowany. Ładunek jest jedynie zakodowany w Base64url, więc każdy może go odczytać. Nigdy nie umieszczaj sekretów w ładunku JWT.

Źródła

Osadź to narzędzie

Dodaj to narzędzie do własnej witryny. Skopiuj poniższy fragment, aktualizuje się automatycznie.

<iframe src="https://monu.tools/embed/pl/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>

Powiązane narzędzia