Pracovní plocha nástroje
JWT decoder a JSON Web Token parser online
Dekódujte JWT header, payload a metadata tokenu v prohlížeči.
JWT decoder
JWT decoder
bajtů →
JWT decoder
Parametry dotazu
IDN / Punycode
JWT decoder
..
Hlavička
Payload
Metadata
· Vyprší:
Ověřit podpis
Podepsat (HS)
JWT decoder
Knihovna vzorů
Zvýrazněné shody
Shody ()
Výsledek náhrady
JWT decoder
Relativně:
Časové pásmo
Sestavit z částí
Rozdíl
JWT decoder
JWT decoder
JWT decoder
Příklady
Token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Dekódovaný payload
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Návody a články
Jak fungují JSON Web Tokeny a co jejich podpis skutečně dokazuje
JWT přenáší sadu tvrzení v kompaktním formátu. Jeho podpis chrání integritu, ale obsah běžného tokenu zůstává čitelný.
Číst článekBezpečnostní chyby JWT, které vznikají mimo kryptografii
Největší rizika JWT přináší benevolentní validace, únik bearer tokenů, dlouhá platnost a záměna identity za oprávnění.
Číst článekJWT nebo serverová relace: jak zvolit autentizační model
JWT a klasické relace ukládají autoritu na jiné místo. Volba ovlivňuje revokaci, soukromí, provoz i složitost systému.
Číst článekJWT decoder
Dekódujte JWT header, payload a metadata tokenu v prohlížeči. DevToolGrid Online nabízí bezplatný JWT decoder a JSON Web Token parser online.
Co je JWT?
JWT (JSON Web Token) je kompaktní token bezpečný pro URL, používaný k autentizaci a autorizaci. Má tři části Base64URL oddělené tečkami: hlavičku (algoritmus podpisu), payload (claims jako id uživatele a platnost) a podpis, který chrání první dvě části před úpravou. Hlavička a payload jsou pouze zakódované, nikoli zašifrované.
Jak dekódovat a ověřit JWT
- 1 Vložte token do vstupu; hlavička a payload se dekódují okamžitě.
- 2 Přečtěte si claims a čitelný stav platnosti (exp) a not-before (nbf).
- 3 K ověření vložte tajemství pro HS256/384/512 nebo veřejný klíč pro algoritmy RS/ES.
- 4 Volitelně podepište nový HS token z hlavičky, payloadu a tajemství.
Časté chyby s JWT
- Tajemství v payloaduPayload je jen zakódovaný Base64 a čitelný pro kohokoli. Nikdy do něj neukládejte hesla ani citlivá data.
- Neověření podpisuDekódování tokenu nedokazuje jeho pravost. Podpis vždy ověřujte na serveru.
- Ignorování platnostiToken po čase exp je nutné odmítnout, i když je podpis platný.
Dekódování vs ověření JWT
Dekódování pouze čte hlavičku a payload — může to každý, protože tyto části nejsou šifrované. Ověření porovná podpis s tajemstvím nebo veřejným klíčem a potvrdí, že token vydala důvěryhodná strana a nebyl změněn. Tento nástroj dekóduje jakýkoli token a ověřuje podpisy HS, RS, ES a PS v prohlížeči.
Časté dotazy
Je tento nástroj zdarma?
Ano. Dekodér a ověřovač JWT jsou zcela zdarma, bez registrace.
Odesílá se můj token na server?
Ne. Dekódování, ověření i podpis probíhají lokálně v prohlížeči, tokeny neopustí zařízení.
Ověřuje se podpis skutečně?
Ano. Zadejte tajemství nebo veřejný klíč a nástroj ověří podpis pomocí Web Crypto API.
Je bezpečné vložit produkční token?
Protože vše běží lokálně, token se nepřenáší. Přesto s živými tokeny zacházejte opatrně a preferujte testovací.