JWT-avkodare

Avkoda och inspektera JWT-token direkt. Visa header, nyttolast och utgångsstatus. 100% på klientsidan, dina token lämnar aldrig din webbläsare.

Klistra in en JWT-token ovan för att avkoda den.

Referens

JSON Web Tokens (JWT)

En JWT (JSON Web Token) är ett kompakt, URL-säkert tokenformat definierat i RFC 7519. Det består av tre base64url-kodade delar separerade med punkter: header.payload.signature. JWT:er används i stor utsträckning för autentisering och informationsutbyte mellan parter.

Struktur

Header — ett JSON-objekt som innehåller tokentyp (typ) och signeringsalgoritm (alg), t.ex. HS256 eller RS256. Nyttolast — ett JSON-objekt som innehåller påståenden: registrerade påståenden som iss (utfärdare), sub (ämne), exp (utgångstid), iat (utfärdad vid); och anpassade applikationspåståenden. Signatur — resultatet av att signera den kodade headern och nyttolasten med en hemlighet eller privat nyckel. Det säkerställer att tokenet inte har manipulerats.

⚠ Säkerhetsnotering

Avkodning är inte detsamma som verifiering. Detta verktyg avkodar tokenet och visar dess innehåll, men det verifierar inte signaturen. Vem som helst kan skapa en JWT med godtyckliga påståenden. Lita aldrig på JWT-påståenden utan att verifiera signaturen på serversidan med lämplig hemlighet eller publik nyckel. Använd ett bibliotek som jsonwebtoken (Node.js) eller PyJWT (Python) i produktion.

Registrerade JWT-påståenden

RFC 7519 definierar sju registrerade påståenden: iss (issuer) — vem som skapade tokenet. sub (subject) — användaren eller entiteten som tokenet representerar. aud (audience) — den avsedda mottagaren/mottagarna. exp (expiration time) — Unix-tidsstämpel efter vilken tokenet är ogiltigt. nbf (not before) — tokenet är inte giltigt före denna tid. iat (issued at) — när tokenet skapades. jti (JWT ID) — en unik identifierare för att förhindra replay-attacker.

Integritet

All avkodning körs 100% i din webbläsare. Ingen data skickas till en server.

← Tillbaka till alla verktyg