TextArray
100% lokalnie

Dekoder JWT

Zdekoduj JSON Web Token i odczytaj jego nagłówek oraz zawartość — bez weryfikacji podpisu.

Wejście
Wynik

Dekoder JWT

Wklej JSON Web Token, a dekoder rozdzieli go na części oddzielone kropkami, zdekoduje nagłówek i zawartość z Base64URL i sformatuje obie jako czytelny JSON. Przyda się przy debugowaniu logowania, sprawdzaniu tokenów access i ID od dostawców OAuth i OpenID Connect, weryfikacji, jakie claimy naprawdę wystawia backend, albo szukaniu przyczyny, dla której serwer ciągle zwraca 401.

Najczęstszym powodem zaglądania do tokenu są claimy czasowe. Z włączoną opcją dat dekoder wypisuje exp (wygaśnięcie), iat (czas wystawienia) i nbf (ważny od) dodatkowo jako znaczniki czasu ISO 8601, więc od razu widać, czy token już wygasł, czy jeszcze nie obowiązuje. Podsumowanie pod wynikiem pokazuje algorytm podpisu z nagłówka i liczbę claimów w zawartości.

Jednej rzeczy to narzędzie celowo nie robi: nie weryfikuje podpisu. Do weryfikacji potrzebny jest sekret podpisujący albo klucz publiczny wystawcy, a sekret wklejony na stronę internetową to sekret ujawniony. Dekoder pokazuje zawartość tokenu i zawsze oznacza podpis jako niezweryfikowany — każdy zdekodowany token traktuj jak dane nieuwierzytelnione.

Dekodowanie odbywa się w całości w twojej przeglądarce; token nie opuszcza urządzenia i nic nie jest wysyłane na żaden serwer. Właśnie tutaj ma to szczególne znaczenie, bo nawet krótkotrwały token testowy daje do czegoś dostęp. Tokeny zawinięte na kilka wierszy i wartości skopiowane z przedrostkiem Bearer są automatycznie czyszczone przed dekodowaniem.

Częste pytania

Czy narzędzie weryfikuje podpis?
Nie. Weryfikacja wymaga sekretu podpisującego albo klucza publicznego wystawcy, a te nigdy nie powinny trafiać na stronę internetową. Dekoder pokazuje nagłówek i zawartość, a podpis zawsze oznacza jako niezweryfikowany.
Czy mój token jest gdzieś wysyłany?
Nie. Dekodowanie działa wyłącznie w twojej przeglądarce i token nigdy nie opuszcza urządzenia. Do zrzutów ekranu i tak wybieraj tokeny wygasłe lub testowe.
Dlaczego exp i iat to zwykłe liczby?
Claimy czasowe w JWT to uniksowe znaczniki czasu — sekundy od 1 stycznia 1970 UTC. Zostaw włączoną opcję dat, a dekoder wypisze je dodatkowo jako daty ISO 8601.
Jakie tokeny można zdekodować?
Kompaktowe tokeny JWS z dwiema lub trzema częściami oddzielonymi kropkami, w tym niepodpisane tokeny alg none i wartości skopiowane z przedrostkiem Bearer. Zaszyfrowanych tokenów JWE (pięć części) nie da się zdekodować bez klucza.