ข้ามไปที่เนื้อหา
โลโก้ CrateX.app

CrateX.app

ตัวถอดรหัส JWT

ถอดรหัส JWT มาตรฐานสามส่วนในเบราว์เซอร์ ตรวจสอบ Header และ Payload JSON คัดลอก Signature ดิบ และดูเวลา exp/nbf/iat โดยไม่ตรวจสอบลายเซ็น

ข้อความอินพุต

อักขระ

0 / 16,000

หมายเหตุ: เครื่องมือนี้จะถอดรหัสและแสดงโทเค็นเท่านั้น ไม่ได้ตรวจสอบลายเซ็น และการอ้างสิทธิ์ที่ถอดรหัสแล้วสามารถปลอมแปลงได้จนกว่าแบ็กเอนด์ที่เชื่อถือได้จะตรวจสอบความถูกต้อง
ตัวถอดรหัส JWT

เริ่มต้นอย่างรวดเร็ว

1
วาง JWT เต็มที่มี 3 ส่วนคั่นด้วยจุด
2
อ่าน JSON ของ Header และ Payload; Signature แสดงแบบดิบและไม่ตรวจสอบ
3
ตรวจ exp/nbf/iat ด้วยเวลาท้องถิ่นและ UTC
4
คัดลอกส่วนที่ต้องใช้; ล้าง token ที่ละเอียดอ่อนเมื่อเสร็จ

สถานการณ์การใช้งานทั่วไป

การดีบัก API

ตรวจสอบเนื้อหาโทเค็นอย่างรวดเร็วและเปรียบเทียบการอ้างสิทธิ์

ตรวจสอบหมดอายุ

ดูฟิลด์ exp เพื่อดูความถูกต้องของ token

เรียนรู้ JWT

เข้าใจโครงสร้าง Header/Payload และการเข้ารหัส Base64URL

เปรียบเทียบสภาพแวดล้อม

เปรียบเทียบ token ระหว่าง dev/test/prod

คำแนะนำการใช้งาน

เพย์โหลดที่ถอดรหัสแล้วสามารถอ่านได้ ไม่น่าเชื่อถือ ระบบการผลิตจะต้องตรวจสอบลายเซ็นและตรวจสอบความถูกต้องของกฎ, aud, ย่อย, ขอบเขต และกฎการเพิกถอนบนแบ็กเอนด์
หลีกเลี่ยงการวาง token ที่มีข้อมูลละเอียดอ่อนบนอุปกรณ์สาธารณะ
ฟิลด์เวลาเป็น Unix timestamp (วินาที); เครื่องมือแปลงอัตโนมัติเป็นเวลาท้องถิ่น/UTC

สัญญาถอดรหัส

อินพุตต้องเป็น JWT compact สามส่วนในรูปแบบ header.payload.signature โทเค็น JWE ห้าส่วนและรูปแบบ token เฉพาะอยู่นอกตัวถอดรหัสนี้
ส่วนหัวและเพย์โหลดถูกถอดรหัส Base64URL เป็น UTF-8 จากนั้นแยกวิเคราะห์เป็น JSON หากส่วนใดส่วนหนึ่งไม่ถูกต้อง Base64URL หรือ JSON อินพุตต้นทางจะยังคงอยู่และผลลัพธ์จะแสดงข้อผิดพลาดที่ตรงกัน
แผง Signature แสดงเฉพาะ segment ที่สามแบบดิบ ไม่มีการตรวจสอบ secret, public key, JWK/JWKS หรือ Web Crypto ที่นี่

ขอบเขตความปลอดภัย

การถอดรหัส JWT ทำงานในเบราว์เซอร์ของคุณแบบภายในเครื่อง ค่า token ที่ป้อนอาจคงอยู่เป็นฉบับร่างในเบราว์เซอร์ หากเปิดใช้เวิร์กสเปซที่บันทึกไว้หรือการซิงก์ WebDAV ค่า token ที่ป้อนอาจถูกบันทึกผ่านการซิงก์นั้น ข้อมูลที่แสดงของ Header, Payload, Signature, การ์ดเวลา claim, ข้อผิดพลาดการแยกวิเคราะห์, สถานะการคัดลอก และประวัติย้อนกลับได้มาจาก token ปัจจุบัน และไม่ถูกบันทึกเป็นข้อมูลผลลัพธ์แยกต่างหาก เครื่องมือนี้ไม่ตรวจสอบลายเซ็น ไม่ดึง JWKS หรือ URL ไม่อัปโหลด token ไม่สร้างไฟล์แนบ และไม่สร้างไฟล์ดาวน์โหลดผลถอดรหัส บนอุปกรณ์ที่ใช้ร่วมกัน ให้ล้าง token และข้อมูลไซต์เมื่อเสร็จแล้ว
หากโทเค็นมีข้อมูลที่ละเอียดอ่อน ให้ใช้อุปกรณ์ส่วนตัวและล้างอินพุตหลังจากการตรวจสอบ
การถอดรหัสจะทำให้การอ้างสิทธิ์สามารถอ่านได้เท่านั้น ไม่ได้พิสูจน์ว่าโทเค็นนั้นออกโดยเซิร์ฟเวอร์ของคุณ ได้รับการยอมรับโดย API หรือปลอดภัยที่จะเชื่อถือ
alg, kid, iss, aud, sub, scope, บทบาท และ jti จะแสดงเป็นฟิลด์ JSON ธรรมดา ตรวจสอบความถูกต้องด้วยแบ็กเอนด์ ข้อมูลเมตาของผู้ออก คีย์ กฎผู้ชม และนโยบายการเพิกถอน
สถานะเวลาใช้ exp และ nbf กับนาฬิกาท้องถิ่นของคุณ การบิดเบือนนาฬิกาของเซิร์ฟเวอร์ ระยะเวลาผ่อนผัน การเพิกถอนเซสชัน และสถานะโทเค็นการรีเฟรช สามารถเปลี่ยนผลลัพธ์ที่แท้จริงได้
ไม่รองรับที่นี่: การตรวจสอบลายเซ็น, secret หรือ public key input, JWK/JWKS lookup, OIDC discovery, OAuth introspection, JWE decryption, nested JWT parsing, การสร้าง token และ validation ฝั่งเซิร์ฟเวอร์

ข้อจำกัดและความเข้ากันได้

ถอดรหัส Base64URL เท่านั้น — ไม่ตรวจสอบลายเซ็น
รองรับเฉพาะ JWT มาตรฐาน 3 ส่วน; ไม่รองรับ JWE หรือรูปแบบกำหนดเอง
JWT ซ้อน (JWT ใน payload) ไม่ถูกประมวลผล
สถานะเวลาไม่ใช่การตรวจสอบ validity แบบเต็ม token อาจยังไม่หมดอายุแต่ยังถูกเซิร์ฟเวอร์ปฏิเสธได้
หน้านี้เสนอการดำเนินการคัดลอกเท่านั้น ไม่ดาวน์โหลด ส่งออก บันทึก หรือแชร์ไฟล์โทเค็นที่ถอดรหัส

ความเป็นส่วนตัวและความปลอดภัย

การถอดรหัส JWT ทำงานในเบราว์เซอร์ของคุณแบบภายในเครื่อง ค่า token ที่ป้อนอาจคงอยู่เป็นฉบับร่างในเบราว์เซอร์ หากเปิดใช้เวิร์กสเปซที่บันทึกไว้หรือการซิงก์ WebDAV ค่า token ที่ป้อนอาจถูกบันทึกผ่านการซิงก์นั้น ข้อมูลที่แสดงของ Header, Payload, Signature, การ์ดเวลา claim, ข้อผิดพลาดการแยกวิเคราะห์, สถานะการคัดลอก และประวัติย้อนกลับได้มาจาก token ปัจจุบัน และไม่ถูกบันทึกเป็นข้อมูลผลลัพธ์แยกต่างหาก เครื่องมือนี้ไม่ตรวจสอบลายเซ็น ไม่ดึง JWKS หรือ URL ไม่อัปโหลด token ไม่สร้างไฟล์แนบ และไม่สร้างไฟล์ดาวน์โหลดผลถอดรหัส บนอุปกรณ์ที่ใช้ร่วมกัน ให้ล้าง token และข้อมูลไซต์เมื่อเสร็จแล้ว
หากโทเค็นมีข้อมูลที่ละเอียดอ่อน ให้ใช้อุปกรณ์ส่วนตัวและล้างอินพุตหลังจากการตรวจสอบ

คำถามที่พบบ่อย

6

ขั้นตอนถัดไปสามารถทำต่อด้วยเครื่องมือที่เกี่ยวข้องเหล่านี้

เกี่ยวกับเรา

เกี่ยวกับเรา
ราคา

ข้อมูลทางกฎหมาย

เงื่อนไขการใช้บริการ
นโยบายความเป็นส่วนตัว
นโยบายคุกกี้

การตั้งค่าของคุณ

จัดการคุกกี้

การประมวลผลของเครื่องมือทั้งหมดเกิดขึ้นภายในเบราว์เซอร์ของคุณแบบในเครื่อง