Dekoder JWT pozwala na błyskawiczne odkodowanie i inspekcję tokenów JSON Web Token - wystarczy wkleić token, aby zobaczyć jego nagłówek, payload i informacje o ważności. Wszystko działa bezpiecznie w przeglądarce, bez wysyłania tokenu na serwery.
Co to jest JWT (JSON Web Token)?
JWT (JSON Web Token) to otwarty standard (RFC 7519) definiujący kompaktowy i samodzielny sposób bezpiecznego przesyłania informacji między stronami jako obiekt JSON. Tokeny JWT są powszechnie stosowane do:
- Autoryzacji - po zalogowaniu każde żądanie zawiera JWT, który umożliwia dostęp do chronionych zasobów
- Wymiany informacji - bezpieczne przesyłanie danych między usługami
Token JWT składa się z trzech części oddzielonych kropką:
- Header (nagłówek) - algorytm szyfrowania i typ tokenu
- Payload (ładunek) - dane, tzw. claims (roszczenia), np. user_id, role, exp
- Signature (podpis) - weryfikacja autentyczności tokenu
Każda część jest zakodowana w Base64URL (nie zaszyfrowana!), więc można ją zdekodować bez znajomości klucza.
Jak używać Dekodera JWT - kroki
- Otwórz Dekoder JWT.
- Wklej token JWT w pole wejściowe (format:
xxxxx.yyyyy.zzzzz). - Natychmiast zobaczysz zdekodowany Header i Payload w formacie JSON.
- Sprawdź pole
exp(expiration) - narzędzie wskazuje czy token wygasł. - Skopiuj wybrany fragment JSON klikając przycisk kopiowania.
Narzędzie nie weryfikuje podpisu (wymaga klucza tajnego), ale pozwala w pełni inspekcjonować zawartość tokenu.
Przypadki użycia
- Debugging API - sprawdzanie jakie dane zawiera token wysyłany przez klienta
- Kontrola uprawnień - weryfikacja czy w tokenie są odpowiednie role i uprawnienia
- Diagnoza problemów z wygaśnięciem - szybkie sprawdzenie czy token jest ważny (pole
exp) - Nauka bezpieczeństwa - zrozumienie struktury tokenów JWT
- Testowanie - inspekcja tokenów wygenerowanych przez środowisko testowe
- Dokumentacja API - prezentacja przykładowych tokenów w dokumentacji
FAQ
Czy dekodowanie JWT jest bezpieczne? Tak, w pełni bezpiecznie. Pamiętaj, że JWT jest zakodowany (Base64URL), a nie zaszyfrowany. Każdy, kto posiada token, może go zdekodować - to normalne zachowanie. Bezpieczeństwo JWT leży w podpisie cyfrowym, nie w kodowaniu.
Czy narzędzie weryfikuje podpis? Nie. Weryfikacja podpisu wymaga dostępu do klucza tajnego (HMAC) lub klucza publicznego (RSA/ECDSA), który nie jest zawarty w samym tokenie. Narzędzie pokazuje tylko zdekodowaną zawartość.
Czy wklejony token jest wysyłany na serwery? Nie. Cała operacja dekodowania odbywa się w Twojej przeglądarce. Token nigdy nie opuszcza Twojego urządzenia.
Co oznacza pole exp w payload?
Pole exp (expiration) to Unix timestamp (sekundy od 1 stycznia 1970) określający, kiedy token wygasa. Narzędzie automatycznie porównuje tę wartość z aktualnym czasem i informuje czy token jest ważny.
Analizuj i debuguj tokeny JWT z łatwością z Dekoder JWT - bezpłatnie i bez rejestracji.