Dekoder JWT

Dekoduj i analizuj tokeny JWT natychmiast. Wyświetl nagłówek, payload i status wygaśnięcia. 100% w przeglądarce, Twoje tokeny są bezpieczne.

Wklej token JWT powyżej, aby go zdekodować.

Odniesienie

JSON Web Tokens (JWT)

JWT (JSON Web Token) to kompaktowy, bezpieczny dla URL format tokenu zdefiniowany w RFC 7519. Składa się z trzech części zakodowanych w base64url, oddzielonych kropkami: header.payload.signature. JWT są szeroko stosowane do uwierzytelniania i wymiany informacji.

Struktura

Nagłówek (Header) — obiekt JSON zawierający typ tokenu (typ) i algorytm podpisywania (alg), np. HS256 lub RS256. Payload — obiekt JSON z claimami: zarejestrowane claims jak iss (wystawca), sub (podmiot), exp (wygaśnięcie), iat (wystawiony); i niestandardowe claims. Podpis (Signature) — wynik podpisania zakodowanego nagłówka i payload kluczem tajnym lub prywatnym. Zapewnia, że token nie został zmodyfikowany.

⚠ Uwaga bezpieczeństwa

Dekodowanie to nie to samo co weryfikacja. To narzędzie dekoduje token i wyświetla jego zawartość, ale nie weryfikuje podpisu. Każdy może utworzyć JWT z dowolnymi claimami. Nigdy nie ufaj claimom JWT bez weryfikacji podpisu po stronie serwera przy użyciu odpowiedniego klucza tajnego lub publicznego. W produkcji użyj biblioteki jak jsonwebtoken (Node.js) lub PyJWT (Python).

Zarejestrowane claimy JWT

RFC 7519 definiuje siedem zarejestrowanych claimów: iss (issuer) — kto utworzył token. sub (subject) — użytkownik lub encja, którą token reprezentuje. aud (audience) — zamierzony odbiorca/odbiorcy. exp (expiration time) — znacznik czasu Unix, po którym token jest nieważny. nbf (not before) — token nie jest ważny przed tym momentem. iat (issued at) — kiedy token został utworzony. jti (JWT ID) — unikalny identyfikator zapobiegający atakom powtórzenia.

Prywatność

Całe dekodowanie działa 100% w twojej przeglądarce. Żadne dane nie są wysyłane na serwer.

← Wróć do wszystkich narzędzi