Dekoder JWT
Dekoduj lokalnie standardowe trzyczęściowe JWT, sprawdź sformatowane Header i Payload JSON, skopiuj surową Signature i sprawdź exp/nbf/iat bez weryfikacji podpisu.
Tekst wejściowy
Znaki
0 / 16,000
Uwaga: to narzędzie jedynie dekoduje i wyświetla token. Nie weryfikuje podpisu, a odszyfrowane oświadczenia mogą zostać sfałszowane, dopóki zaufany backend ich nie zweryfikuje.
Dekoder JWTWklej pełny JWT z trzema częściami rozdzielonymi kropkami.Odczytaj JSON Header i Payload; Signature jest surowe i niezweryfikowane.Sprawdź exp/nbf/iat według czasu lokalnego i UTC.Skopiuj potrzebną część; wyczyść wrażliwe tokeny po zakończeniu.
Szybki start
1
2
3
4
Typowe scenariusze
Debugowanie API
szybko sprawdzaj zawartość tokenu i porównuj oświadczenia
Sprawdzanie wygaśnięcia
Sprawdź pole exp, czy token jest ważny
Nauka JWT
Zrozum strukturę Header/Payload i kodowanie Base64URL
Porównanie środowisk
Porównaj tokeny między dev/test/prod
Wskazówki użycia
Zdekodowany ładunek jest czytelny, ale nie zaufany. Systemy produkcyjne muszą zweryfikować podpis i sprawdzić reguły is, aud, sub, zakres i odwołania na zapleczu.
Unikaj wklejania tokenów z wrażliwymi danymi na publicznych urządzeniach
Pola czasu to znaczniki Unix (sekundy); narzędzie konwertuje automatycznie na czas lokalny/UTC
Umowa na dekoder
Dane wejściowe muszą być zwartym, trzyczęściowym JWT w postaci header.payload.signature. Pięcioczęściowe tokeny JWE i niestandardowe formaty tokenów są poza zakresem tego dekodera.
Nagłówek i ładunek są dekodowane metodą Base64URL jako UTF-8, a następnie analizowane jako JSON. Jeśli którakolwiek część nie jest poprawna Base64URL lub JSON, dane wejściowe źródła pozostają na swoim miejscu, a wynik pokazuje błąd dopasowania.
Panel Signature pokazuje tylko surowy trzeci segment. Nie wykonuje się tu weryfikacji przez secret, public key, JWK/JWKS ani Web Crypto.
Granica bezpieczeństwa
Dekodowanie JWT działa lokalnie w przeglądarce. Wprowadzony token może pozostać jako wersja robocza w przeglądarce. Jeśli włączono zapisany obszar roboczy lub synchronizację WebDAV, wprowadzony token może zostać zapisany przez tę synchronizację. Dane wyświetlane dla Header, Payload i Signature, karty czasu claimów, błędy parsowania, stan kopiowania i historia cofania są wyprowadzane z bieżącego tokenu i nie są zapisywane jako oddzielne dane wyniku. To narzędzie nie weryfikuje podpisów, nie pobiera JWKS ani URL-i, nie przesyła tokenów, nie tworzy załączników ani pobrań zdekodowanych plików. Na współdzielonym urządzeniu po zakończeniu wyczyść token i dane witryny.
Jeśli token zawiera poufne informacje, użyj prywatnego urządzenia i po sprawdzeniu wyczyść wprowadzone dane.
Dekodowanie sprawia, że oświadczenia stają się czytelne. Nie oznacza to, że token został wydany przez Twój serwer, zaakceptowany przez API lub można mu zaufać.
alg, kid, iss, aud, sub, zakres, role i jti są wyświetlane jako zwykłe pola JSON. Zweryfikuj je za pomocą backendu, metadanych wystawcy, kluczy, reguł odbiorców i zasad odwołań.
Status czasu wykorzystuje exp i nbf z lokalnym zegarem. Odchylenie zegara serwera, okresy karencji, odwołanie sesji i stan tokena odświeżania mogą zmienić rzeczywisty wynik.
Nieobsługiwane tutaj: weryfikacja podpisu, wejście secret lub public key, lookup JWK/JWKS, OIDC discovery, OAuth introspection, deszyfrowanie JWE, parsowanie zagnieżdżonego JWT, generowanie tokenów i walidacja server-side.
Ograniczenia i kompatybilność
Tylko dekodowanie Base64URL — brak weryfikacji podpisu
Tylko standardowy 3-częściowy JWT obsługiwany; JWE lub niestandardowe formaty nieobsługiwane
Zagnieżdżone JWT (JWT w payload) nie są przetwarzane
Status czasu nie jest pełną kontrolą ważności. Token może nie być wygasły, a mimo to zostać odrzucony przez serwer.
Na tej stronie dostępne są wyłącznie akcje kopiowania. Nie pobiera, nie eksportuje, nie zapisuje ani nie udostępnia zdekodowanych plików tokenów.
Prywatność i bezpieczeństwo
Dekodowanie JWT działa lokalnie w przeglądarce. Wprowadzony token może pozostać jako wersja robocza w przeglądarce. Jeśli włączono zapisany obszar roboczy lub synchronizację WebDAV, wprowadzony token może zostać zapisany przez tę synchronizację. Dane wyświetlane dla Header, Payload i Signature, karty czasu claimów, błędy parsowania, stan kopiowania i historia cofania są wyprowadzane z bieżącego tokenu i nie są zapisywane jako oddzielne dane wyniku. To narzędzie nie weryfikuje podpisów, nie pobiera JWKS ani URL-i, nie przesyła tokenów, nie tworzy załączników ani pobrań zdekodowanych plików. Na współdzielonym urządzeniu po zakończeniu wyczyść token i dane witryny.
Jeśli token zawiera poufne informacje, użyj prywatnego urządzenia i po sprawdzeniu wyczyść wprowadzone dane.
Najczęstsze pytania
JWT musi zawierać dokładnie trzy części Base64URL oddzielone kropkami: header.payload.signature. Usuń dodatkowe spacje lub podziały wierszy i upewnij się, że nie wkleiłeś tylko ładunku lub przedrostka nagłówka autoryzacji.
Serwery mogą dopuszczać clock skew, sesje w cache, przepływy refresh token lub własne okresy karencji. Ten dekoder odczytuje exp claim względem lokalnego zegara, więc używaj go do inspekcji, a nie jako ostatecznej decyzji o dostępie do serwera.