Dekoder JWT
Zdekoduj JSON Web Token i odczytaj jego nagłówek oraz zawartość — bez weryfikacji podpisu.
Powiązane narzędzia
Dekoder JWT
Wklej JSON Web Token, a dekoder rozdzieli go na części oddzielone kropkami, zdekoduje nagłówek i zawartość z Base64URL i sformatuje obie jako czytelny JSON. Przyda się przy debugowaniu logowania, sprawdzaniu tokenów access i ID od dostawców OAuth i OpenID Connect, weryfikacji, jakie claimy naprawdę wystawia backend, albo szukaniu przyczyny, dla której serwer ciągle zwraca 401.
Najczęstszym powodem zaglądania do tokenu są claimy czasowe. Z włączoną opcją dat dekoder wypisuje exp (wygaśnięcie), iat (czas wystawienia) i nbf (ważny od) dodatkowo jako znaczniki czasu ISO 8601, więc od razu widać, czy token już wygasł, czy jeszcze nie obowiązuje. Podsumowanie pod wynikiem pokazuje algorytm podpisu z nagłówka i liczbę claimów w zawartości.
Jednej rzeczy to narzędzie celowo nie robi: nie weryfikuje podpisu. Do weryfikacji potrzebny jest sekret podpisujący albo klucz publiczny wystawcy, a sekret wklejony na stronę internetową to sekret ujawniony. Dekoder pokazuje zawartość tokenu i zawsze oznacza podpis jako niezweryfikowany — każdy zdekodowany token traktuj jak dane nieuwierzytelnione.
Dekodowanie odbywa się w całości w twojej przeglądarce; token nie opuszcza urządzenia i nic nie jest wysyłane na żaden serwer. Właśnie tutaj ma to szczególne znaczenie, bo nawet krótkotrwały token testowy daje do czegoś dostęp. Tokeny zawinięte na kilka wierszy i wartości skopiowane z przedrostkiem Bearer są automatycznie czyszczone przed dekodowaniem.