Handytool
Poradnik deweloperski5 min czytaniaZaktualizowano 24 lut 2026

Natychmiastowe narzędzie dla programisty

Zdekoduj dowolny JWT i przeanalizuj jego claims natychmiast

Dekoder JWT Handytool dzieli dowolny JSON Web Token na nagłówek, ładunek i claims — ze sprawdzaniem wygaśnięcia i czytelnymi dla człowieka znacznikami czasu — wszystko w Twojej przeglądarce, bez kontaktu z serwerem.

Otwórz Dekoder JWTWszystkie artykuły

Kluczowe punkty

  • 01Zdekoduj dowolny JWT i przeanalizuj nagłówek, ładunek i standardowe claims w jednym wklejeniu.
  • 02Claims exp, nbf i iat są konwertowane na czytelne dla człowieka znaczniki czasu z tagami ważny/wygasły.
  • 03Dekodowanie jest całkowicie lokalne — bezpieczne do wklejania prawdziwych tokenów produkcyjnych podczas debugowania.
  • 04Dekoder nie weryfikuje podpisów — musi się to odbywać po stronie serwera za pomocą klucza wydawcy.

Dlaczego potrzebujesz dekodera JWT

JSON Web Tokeny wyglądają jak przypadkowy szum, dopóki nie wiesz, że są to trzy segmenty zakodowane w Base64URL oddzielone kropkami. Pierwszy segment to nagłówek (algorytm i typ tokena), drugi to ładunek (claims: ID użytkownika, role, wygaśnięcie), a trzeci to podpis. Podczas debugowania problemu z uwierzytelnianiem, wygasłej sesji lub przerwane integracji OAuth, pierwszym krokiem jest przeczytanie ładunku.

Robienie tego ręcznie oznacza podzielenie na kropki, dekodowanie Base64URL i konwersję znaczników czasu Unix na czytelne daty. Dekoder JWT Handytool robi to wszystko automatycznie i dodaje tagi ważności dla timing claims, abyś mógł natychmiast zobaczyć, czy token jest jeszcze aktywny.

Jak zdekodować token JWT

  1. 01

    Skopiuj JWT

    Weź token z DevTools przeglądarki (Application > Cookies, lub panel Network > Authorization header), z pliku dziennika lub z Twojego klienta API.

  2. 02

    Wklej go do dekodera

    Wklej pełny token — łącznie ze wszystkimi trzema segmentami oddzielonymi kropkami — w pole wejściowe. Dekoder automatycznie identyfikuje segmenty.

  3. 03

    Przeczytaj nagłówek i ładunek

    Narzędzie dzieli token i wyświetla nagłówek (algorytm, typ) i ładunek (wszystkie claims) jako sformatowany JSON.

  4. 04

    Sprawdź timing claims

    Znaczniki czasu Unix exp (wygaśnięcie), nbf (nie wcześniej niż) i iat (wystawiono w) są konwertowane na daty ISO. Dekoder oznacza exp zielonym kolorem (ważny) lub czerwonym kolorem (wygasły) względem Twojego obecnego czasu lokalnego.

Wyjaśnione standardowe JWT claims

Te zarejestrowane nazwy claims pojawiają się w większości JWT.

  • 01iss (Issuer) — identyfikuje, kto utworzył token, zazwyczaj adres URL lub nazwa usługi.
  • 02sub (Subject) — główny podmiot, który reprezentuje token, zwykle ID użytkownika.
  • 03aud (Audience) — zamierzeni odbiorcy tokena; Twój serwer powinien odrzucić tokeny przeznaczone dla innych.
  • 04exp (Expiration) — znacznik czasu Unix, po którym token musi być odrzucony.
  • 05nbf (Not Before) — znacznik czasu Unix, przed którym token musi być odrzucony.
  • 06iat (Issued At) — znacznik czasu Unix, kiedy token został utworzony; przydatne do wykrywania przestarzałych tokenów.

Bezpieczne wklejanie prawdziwych tokenów podczas debugowania

Dekodowanie JWT odbywa się całkowicie w Twojej przeglądarce przy użyciu natywnej funkcji atob i JSON.parse. Nic nie jest przesyłane na żaden serwer — Twój token jest dekodowany w pamięci i wyświetlany lokalnie. Możesz bezpiecznie wklejać rzeczywiste tokeny dostępu i tokeny sesji z środowisk programistycznych lub testowych, aby debugować przepływy uwierzytelniania.

To powiedziawszy, traktuj JWT'y jak hasła. Przyznają dostęp do Twoich systemów na całą życiową długość. Nie wklejaj tokenów produkcyjnych z kont wysokim przywilejami w żadne narzędzie, chyba że jesteś pewny gwarancji prywatności narzędzia — i zawsze obróć token, jeśli uważasz, że mógł zostać ujawniony.

FAQ dekodera JWT

Czym jest JWT?

JSON Web Token to kompaktowy, bezpieczny dla adresu URL format składający się z trzech segmentów zakodowanych w Base64URL (nagłówek, ładunek, podpis) oddzielonych kropkami. JWT'y noszą claims — twierdzenia o użytkowniku lub sesji — i są używane do uwierzytelniania, autoryzacji i dostępu do API.

Czy ten dekoder weryfikuje podpis JWT?

Nie. Dekoder tylko analizuje nagłówek i ładunek. Weryfikacja podpisu wymaga tajnego lub publicznego klucza wydawcy i musi się odbywać w kodzie aplikacji za pomocą zaufanej biblioteki.

Czy jest bezpieczne wklejanie prawdziwego tokenu dostępu tutaj?

Dekodowanie jest całkowicie lokalne — token nigdy nie jest przesyłany. Jednak JWT'y przyznają rzeczywisty dostęp, więc traktuj je jak hasła. Nie udostępniaj ich, nie commituj do kontroli źródła i obróć je, jeśli mogły zostać ujawnione.

Co oznacza claim exp?

exp to znacznik czasu wygaśnięcia — całkowita liczba Unix reprezentująca moment, w którym token przestaje być ważny. Dekoder konwertuje go na czytelną dla człowieka datę ISO i oznacza ją jako ważną lub wygasłą względem Twojego obecnego czasu lokalnego.

Dlaczego payload JWT jest widoczny bez klucza?

Payloady JWT są zakodowane w Base64URL, nie zaszyfrowane. Są zaprojektowane, aby być czytelnym — podpis dotyczy tylko autentyczności, nie poufności. Nigdy nie umieszczaj prawdziwie tajnych danych w payloadzie JWT, chyba że używasz JSON Web Encryption (JWE).

Czy dekoder jest darmowy?

Tak. Handytool jest darmowy bez rejestracji, bez limitów szybkości i bez zbierania danych.

Powiązane narzędzia

Kontynuuj pracę z narzędziami Narzędzia

Narzędzia Narzędzia