Zdekoduj token JSON Web Token, aby zbadać jego nagłówek i ładunek, z czytelnymi czasami wygaśnięcia i wydania. Działa w całości w Twojej przeglądarce, tokeny nigdy nie są przesyłane.
Jak korzystać z narzędzia Dekoder JWT
Wklej JWT w postaci header.payload.signature.
Odczytaj zdekodowany nagłówek i ładunek jako sformatowany JSON.
Sprawdź czasy wygaśnięcia i wydania oraz to, czy token wygasł.
Najczęściej zadawane pytania
Nie. Dekoduje i wyświetla nagłówek i ładunek. Weryfikacja podpisu wymaga sekretu podpisującego lub klucza publicznego, którego nie powinieneś wklejać do żadnego narzędzia webowego.
Dekodowanie odczytuje nagłówek i ładunek w Base64url, które nie są zaszyfrowane. Weryfikacja ponownie oblicza podpis za pomocą klucza, aby udowodnić, że token jest autentyczny i niezmieniony.
Dekodowanie odbywa się w całości w Twojej przeglądarce, więc token nie jest przesyłany. Mimo to traktuj aktywne tokeny jak sekrety i unikaj wklejania ich na współdzielonych komputerach.
To standardowe deklaracje: iat to czas wydania, nbf to nieważny przed, a exp to czas wygaśnięcia. Dekoder konwertuje te znaczniki czasu Unix na czytelny czas lokalny.
Tak. Wygaśnięcie nie zmienia sposobu dekodowania tokena, więc możesz zbadać deklaracje wygasłego tokena i zobaczyć dokładnie, kiedy stracił ważność.
JWT jest podpisany, a nie zaszyfrowany. Ładunek jest jedynie zakodowany w Base64url, więc każdy może go odczytać. Nigdy nie umieszczaj sekretów w ładunku JWT.
JSON Web Token ma trzy części oddzielone kropkami: zakodowany w Base64url nagłówek, zakodowany w Base64url ładunek oraz podpis. Ten dekoder dzieli i dekoduje dwie pierwsze części natychmiast w Twojej przeglądarce, a token nigdy nie opuszcza Twojego urządzenia.
Najczęstszym zastosowaniem jest badanie tokena zwróconego przez API: kto go wydał (iss), kiedy wygasa (exp), jakie uprawnienia nosi (scope lub roles) i czy już wygasł. Wygaśnięcie jest pokazywane jako czytelny czas lokalny, a nie surowy znacznik czasu Unix, więc jednym rzutem oka widzisz, czy token jest nadal ważny.
Uwaga: to narzędzie dekoduje i wyświetla, nie weryfikuje podpisu względem klucza tajnego. Do weryfikacji podpisu potrzebujesz sekretu podpisującego lub klucza publicznego, którego nigdy nie należy wprowadzać do narzędzia działającego w przeglądarce.
Powiązane narzędzia
Generuj skróty SHA-1, SHA-256, SHA-384 i SHA-512 dowolnego tekstu, bezpośrednio w przeglądarce.
Konwertuj kolory między HEX, RGB i HSL z podglądem na żywo.
Konwertuj znaczniki czasu Unix na czytelne daty i odwrotnie: UTC, czas lokalny, ISO 8601 i czas względny. Sekundy i milisekundy są wykrywane automatycznie.
Koduj i dekoduj adresy URL oraz ich komponenty w kodowaniu procentowym, bezpiecznie dla UTF-8.