JWT dekodér
Dekódujte JSON Web Token a přečtěte si jeho hlavičku a obsah — bez ověřování podpisu.
Související nástroje
JWT dekodér
Vložte JSON Web Token a dekodér jej rozdělí na části oddělené tečkami, dekóduje hlavičku a obsah z Base64URL a obě části naformátuje jako čitelný JSON. Hodí se při ladění přihlašování, kontrole access a ID tokenů od poskytovatelů OAuth či OpenID Connect, ověření, jaké claimy backend skutečně vydává, nebo při pátrání, proč server pořád vrací 401.
Nejčastějším důvodem, proč token vůbec otevíráte, jsou časové claimy. Se zapnutou volbou dat dekodér vypíše exp (expirace), iat (čas vydání) a nbf (platný od) také jako časové značky ISO 8601, takže na první pohled vidíte, jestli token už vypršel, nebo ještě neplatí. Přehled pod výstupem ukazuje podpisový algoritmus z hlavičky a počet claimů v obsahu.
Jednu věc tento nástroj záměrně nedělá: neověřuje podpis. K ověření je potřeba podpisový klíč nebo veřejný klíč vydavatele a tajný klíč vložený do webové stránky je vyzrazený klíč. Dekodér zobrazuje obsah tokenu a podpis vždy označí jako neověřený — s každým dekódovaným tokenem proto zacházejte jako s neověřenými daty.
Dekódování probíhá výhradně ve vašem prohlížeči; token neopustí vaše zařízení a na žádný server se nic neposílá. Právě tady na tom záleží víc než jinde, protože i krátkodobý testovací token k něčemu otevírá přístup. Tokeny zalomené na více řádků i hodnoty zkopírované s předponou Bearer se před dekódováním automaticky očistí.