Obszar narzędzia
decoder JWT i parser JSON Web Token online
Dekoduj header, payload i metadane JSON Web Token w przeglądarce.
Decoder JWT
Decoder JWT
bajtów →
Decoder JWT
Parametry zapytania
IDN / Punycode
Decoder JWT
..
Nagłówek
Payload
Metadane
· Wygasa:
Zweryfikuj podpis
Podpisz (HS)
Decoder JWT
Biblioteka wzorców
Podświetlone dopasowania
Dopasowania ()
Wynik zamiany
Decoder JWT
Względnie:
Strefa czasowa
Zbuduj z części
Różnica
Decoder JWT
Decoder JWT
Decoder JWT
Przykłady
Token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Zdekodowany ładunek
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Poradniki i artykuły
Jak naprawdę działa JSON Web Token
JWT przenosi podpisane claims w kompaktowym formacie. Nie jest jednak automatycznie zaszyfrowany ani kompletnym systemem logowania.
Czytaj artykułBłędy bezpieczeństwa JWT i sposoby ich unikania
Ryzyko JWT powstaje najczęściej w algorytmach, claims, kluczach, storage i revocation, a nie w samym formacie tokena.
Czytaj artykułJWT czy sesja serwerowa: jak wybrać model logowania
JWT i sesje inaczej rozmieszczają stan. Wybór zależy od revocation, rodzaju klientów, granic usług i funkcji produktu.
Czytaj artykułDecoder JWT
Dekoduj header, payload i metadane JSON Web Token w przeglądarce. DevToolGrid Online oferuje darmowy decoder JWT i parser JSON Web Token online.
Czym jest JWT?
JWT (JSON Web Token) to zwarty, bezpieczny dla adresów URL token używany do uwierzytelniania i autoryzacji. Składa się z trzech części Base64URL oddzielonych kropkami: nagłówka (algorytm podpisu), ładunku (claims, np. id użytkownika i wygaśnięcie) oraz podpisu, który chroni dwie pierwsze części przed manipulacją. Nagłówek i ładunek są tylko zakodowane, nie zaszyfrowane.
Jak dekodować i weryfikować JWT
- 1 Wklej token do pola wejściowego; nagłówek i ładunek są dekodowane natychmiast.
- 2 Odczytaj claims oraz czytelny status wygaśnięcia (exp) i not-before (nbf).
- 3 Aby zweryfikować, wklej sekret dla HS256/384/512 lub klucz publiczny dla algorytmów RS/ES.
- 4 Opcjonalnie podpisz nowy token HS z nagłówka, ładunku i sekretu.
Częste błędy z JWT
- Sekrety w ładunkuŁadunek jest tylko zakodowany Base64 i czytelny dla każdego. Nigdy nie przechowuj w nim haseł ani danych wrażliwych.
- Brak weryfikacji podpisuZdekodowanie tokenu nie dowodzi jego autentyczności. Zawsze weryfikuj podpis po stronie serwera.
- Ignorowanie wygaśnięciaToken po czasie exp należy odrzucić, nawet jeśli podpis jest prawidłowy.
Dekodowanie vs weryfikacja JWT
Dekodowanie po prostu odczytuje nagłówek i ładunek — może to zrobić każdy, bo te części nie są zaszyfrowane. Weryfikacja sprawdza podpis sekretem lub kluczem publicznym, by potwierdzić, że token wydała zaufana strona i nie został zmieniony. To narzędzie dekoduje każdy token i weryfikuje podpisy HS, RS, ES i PS w przeglądarce.
Najczęstsze pytania
Czy to narzędzie jest darmowe?
Tak. Dekoder i weryfikator JWT są całkowicie darmowe, bez rejestracji.
Czy mój token jest wysyłany na serwer?
Nie. Dekodowanie, weryfikacja i podpisywanie odbywają się lokalnie w przeglądarce, więc tokeny nie opuszczają urządzenia.
Czy podpis jest naprawdę weryfikowany?
Tak. Podaj sekret lub klucz publiczny, a narzędzie sprawdzi podpis za pomocą Web Crypto API.
Czy bezpiecznie jest wkleić token produkcyjny?
Ponieważ wszystko działa lokalnie, token nie jest przesyłany. Mimo to traktuj tokeny produkcyjne ostrożnie i wybieraj testowe.