Handytool
NarzędziaDziała lokalnie

Dekoder JWT

Dekoduj JSON Web Tokeny i sprawdzaj ich nagłówek, ładunek i roszczenia — wszystko w Twojej przeglądarce, nigdy nieuprawiane na serwer.

JWT
0 linie0 bajty
Zdekodowany
0 linie0 bajty

Handytool dekoduje tylko nagłówek i ładunek. Podpisy muszą być weryfikowane po stronie serwera kluczem emitenta.

O Dekoder JWT

Dekoder JWT Handytool parsuje każdy JSON Web Token na jego nagłówek i ładunek, wyróżnia standardowe roszczenia (iss, sub, aud, iat, exp, nbf) i pokazuje, czy token już wygasł. Ponieważ dekodowanie jest czysto lokalne, możesz wklejać rzeczywiste tokeny dostępu i tokeny sesji bez opuszczania Twojego urządzenia. Przydatne przy debugowaniu przepływów uwierzytelniania, integracji OAuth lub API trzecie strony, które zwracają nieprzezroczyste JWT-y.

Funkcje: Dekoder JWT

  • 01

    Nagłówek, ładunek i roszczenia na pierwszy rzut oka

    Dekoder dzieli Twój JWT na trzy segmenty, pięknie drukuje nagłówek i ładunek jako JSON i pokazuje standardowe roszczenia — algorytm, temat, emitent, odbiorczę, wydane w, wygaśnięcie — w zwartym podsumowaniu powyżej surowych danych.

  • 02

    Kontrole wygaśnięcia i czasu

    Roszczenie exp jest tłumaczone na znacznik czasu ISO i oznaczane jako ważne lub wygasłe względem Twojego aktualnego zegara. To samo dla nbf (nie wcześniej) i iat (wydane w). Koniec ręcznych konwersji Unix-to-Date.

  • 03

    Tylko dekoder — nigdy nieuprawiane

    Tokeny są dekodowane w Twojej przeglądarce za pomocą natywnego atob. Nic nigdy nie jest wysyłane na serwer. Bezpieczne dla wklejania produkcyjnych JWT-ów, tokenów dostępu API czy ciasteczek sesji podczas debugowania.

Dekoder JWT – FAQ

Co to jest JWT?
JSON Web Token to kompaktowy, bezpieczny dla URL format tokenu wykonany z trzech segmentów kodowanych Base64URL rozdzielonych kropkami: nagłówek (algorytm i typ), ładunek (roszczenia) i podpis. JWT-y są szeroko używane do uwierzytelniania, autoryzacji i krótkotrwałego dostępu API.
Czy ten dekoder sprawdza podpis?
Nie. Dekoder tylko parsuje nagłówek i ładunek, aby pokazać, co w środku. Weryfikacja podpisu wymaga tajemnicy lub klucza publicznego emitenta, które muszą pozostać na Twoim serwerze — nigdy nie wklej go do narzędzia internetowego. Zweryfikuj podpisy po stronie serwera w Twojej aplikacji.
Czy jest bezpieczne wklejanie rzeczywistego JWT tutaj?
Dekodowanie odbywa się całkowicie w Twojej przeglądarce — token nigdy nie jest przesyłany. Jednak JWT-y nie są szyfrowane (każdy z tokenem może czytać roszczenia), więc traktuj je jak hasła: nie dziel się nimi, nie zatwierdzaj ich i obracaj je, jeśli wyciękły.
Dlaczego podpis jest pokazany, ale nie zweryfikowany?
Podpis jest wyświetlany, aby można go było porównać z tym, co twój serwer produkuje podczas debugowania. Rzeczywista weryfikacja wymaga klucza podpisywania (tajemnica HMAC lub klucz publiczny RSA/EC), do którego dekoder nie ma dostępu i nie powinien.
Co oznacza "exp"?
exp to roszczenie wygaśnięcia — czasów Unix, po którym token powinien być odrzucony. Dekoder konwertuje go na znacznik czasu ISO i pokazuje zielony tag, jeśli jest jeszcze w przyszłości, lub czerwony tag, jeśli token już wygasł.

Powiązane narzędzia

Narzędzia

Odkryj inne narzędzia

Wszystkie narzędzia