Zdekoduj JSON Web Token, aby zbadać jego nagłówek i ładunek, z czytelnymi czasami wygaśnięcia i wydania. Działa w całości w Twojej przeglądarce, tokeny nigdy nie są przesyłane.
Jak korzystać z narzędzia Dekoder JWT
Wklej JWT w postaci header.payload.signature.
Odczytaj zdekodowany nagłówek i ładunek jako sformatowany JSON.
Sprawdź czasy wygaśnięcia i wydania oraz to, czy token wygasł.
Token JSON Web Token ma trzy części oddzielone kropkami: zakodowany w Base64URL nagłówek, zakodowany w Base64URL ładunek i podpis. Ten dekoder natychmiast dzieli i dekoduje dwie pierwsze części w Twojej przeglądarce, więc możesz odczytać, co token faktycznie zawiera.
Najczęstszym zastosowaniem jest podgląd tokena zwróconego przez API: kto go wystawił (iss), kiedy wygasa (exp), jakie uprawnienia niesie (scope lub roles) i czy już wygasł.
Narzędzie bierze segmenty nagłówka i ładunku i dekoduje ich zawartość Base64URL z powrotem na czytelny JSON. Nic nie jest nigdzie wysyłane: podział i dekodowanie odbywają się lokalnie w chwili wklejenia tokena.
Wygaśnięcie pokazywane jest w czytelnym czasie lokalnym, a nie jako surowy znacznik czasu Unix, więc na pierwszy rzut oka widzisz, czy token jest jeszcze ważny. To samo dotyczy innych deklaracji czasowych, takich jak iat i nbf, które stają się datami dającymi się faktycznie zinterpretować.
To narzędzie dekoduje i wyświetla, nie weryfikuje podpisu względem tajnego klucza. Każdy może odczytać ładunek JWT bez klucza, ponieważ chroniony jest tylko podpis, a nie treść.
Do weryfikacji podpisu potrzebujesz tajnego klucza podpisującego lub klucza publicznego, którego nigdy nie należy wpisywać do narzędzia działającego w przeglądarce. Nie wklejaj tutaj sekretów.
Token nigdy nie opuszcza Twojego urządzenia. Całe dekodowanie działa w Twojej przeglądarce, więc nic z tego, co wkleisz, nie jest wysyłane ani przechowywane.
Najczęściej zadawane pytania
Nie. Dekoduje i wyświetla nagłówek i ładunek. Weryfikacja podpisu wymaga sekretu podpisującego lub klucza publicznego, którego nie powinieneś wklejać do żadnego narzędzia webowego.
Dekodowanie odczytuje nagłówek i ładunek w Base64url, które nie są zaszyfrowane. Weryfikacja ponownie oblicza podpis za pomocą klucza, aby udowodnić, że token jest autentyczny i niezmieniony.
Dekodowanie odbywa się w całości w Twojej przeglądarce, więc token nie jest przesyłany. Mimo to traktuj aktywne tokeny jak sekrety i unikaj wklejania ich na współdzielonych komputerach.
To standardowe deklaracje: iat to czas wydania, nbf to czas, od którego token jest ważny, a exp to czas wygaśnięcia. Dekoder konwertuje te znaczniki czasu Unix na czytelny czas lokalny.
Tak. Wygaśnięcie nie zmienia sposobu dekodowania tokena, więc możesz zbadać deklaracje wygasłego tokena i zobaczyć dokładnie, kiedy stracił ważność.
JWT jest podpisany, a nie zaszyfrowany. Ładunek jest jedynie zakodowany w Base64url, więc każdy może go odczytać. Nigdy nie umieszczaj sekretów w ładunku JWT.
Osadź to narzędzie
Dodaj to narzędzie do własnej witryny. Skopiuj poniższy fragment, aktualizuje się automatycznie.
<iframe src="https://monu.tools/embed/pl/jwt-decoder" width="100%" height="640" style="border:1px solid #e5e5e5;border-radius:12px;max-width:680px" loading="lazy" title="Monu Tools"></iframe>Powiązane narzędzia
Koduj tekst do Base64 lub dekoduj Base64 z powrotem na tekst. Bezpieczny dla UTF-8 z automatycznym wykrywaniem kierunku.
Koduj i dekoduj adresy URL oraz ich komponenty w kodowaniu procentowym, bezpiecznie dla UTF-8.
Generuj skróty SHA-1, SHA-256, SHA-384 i SHA-512 dowolnego tekstu, bezpośrednio w przeglądarce.
Generuj skróty HMAC wiadomości za pomocą klucza tajnego i algorytmu SHA, całkowicie w przeglądarce.