Dekoder JWT
Zbadaj nagłówek i claimy tokenu JWT.
- Natychmiast
- Za darmo
- Prywatnie (przetwarzane lokalnie)
- Bez rejestracji
Zobacz, co naprawdę przenosi Twój token
JWT wygląda jak szum — w rzeczywistości to JSON zakodowany w base64url, czytelny dla każdego. Wklej token: narzędzie rozdzieli i zdekoduje nagłówek oraz payload, sformatuje JSON, zamieni znaczniki czasu na daty i powie, czy token wygasł.
Anatomia JWT
| Część | Zawartość | Przykład |
|---|---|---|
| Nagłówek | Algorytm i typ | {"alg":"HS256","typ":"JWT"} |
| Payload | Claimy (dane biznesowe) | {"sub":"1234567890","exp":1716239022} |
| Podpis | HMAC lub podpis asymetryczny | SflKxwRJ… (zakodowany blok binarny) |
Zarejestrowane claimy warte znajomości
- iss (issuer): kto wystawił token — Twój serwer uwierzytelniania.
- sub (subject): kogo dotyczy — identyfikator użytkownika.
- aud (audience): dla kogo jest przeznaczony — API, które ma go przyjąć.
- exp / nbf / iat: okno ważności czasowej w znacznikach Unix.
Przypomnienie o bezpieczeństwie: dekodowanie to nie weryfikacja. Token o wiarygodnej treści może być sfałszowany; wiążąca jest tylko serwerowa weryfikacja podpisu (właściwym kluczem i algorytmem). Nie przechowuj sekretów w payloadzie: jest jawny.
Najczęstsze pytania
Czym jest JWT?
JSON Web Token (RFC 7519) to kompaktowy token złożony z trzech części zakodowanych w base64url i rozdzielonych kropkami: nagłówka (algorytm), payloadu (claimy: tożsamość, wygaśnięcie…) i podpisu gwarantującego integralność.
Czy dekodowanie JWT to jego „złamanie”?
Nie. Nagłówek i payload nie są zaszyfrowane, tylko zakodowane w base64url: każdy może je odczytać. Bezpieczeństwo JWT opiera się na podpisie, który zapobiega modyfikacji, a nie odczytowi.
Czy to narzędzie weryfikuje podpis?
Nie, celowo: dekoduje i wyświetla zawartość, nic więcej. Weryfikacja podpisu wymaga klucza tajnego lub publicznego i musi odbywać się po stronie serwera. Nigdy nie ufaj tokenowi wyłącznie na podstawie zdekodowanej treści.
Co oznaczają exp, iat i nbf?
To znaczniki czasu Unix: exp = data wygaśnięcia, iat = data wystawienia, nbf = data, przed którą token jest nieważny. Narzędzie zamienia je na czytelne daty i wskazuje, czy token wygasł.
Czy wklejanie tu prawdziwego tokenu jest bezpieczne?
Dekodowanie jest w 100 % lokalne; nic nie jest przesyłane. Mimo to, z higieny, unikaj operowania ważnymi tokenami produkcyjnymi poza bezpiecznymi środowiskami i unieważniaj tokeny ujawnione przez przypadek.