Dekoder JWT - Dekoduj i weryfikuj JWT w przeglądarce

// dekoduj JWT bez wysyłania danych na serwer

Tylko po stronie klienta — Twoje dane nigdy nie opuszczają przeglądarki
Wprowadzanie tokena
Upuść plik JWT lub tekst tutaj

Jak dekodować tokeny JWT

1

Wklej swój token JWT

Skopiuj swój JSON Web Token i wklej go w pole wprowadzania. Dekoder JWT automatycznie parsuje i dekoduje token zakodowany w Base64URL natychmiast.

2

Zobacz zdekodowane roszczenia

Sprawdź zdekodowany nagłówek i ładunek JWT. Przeglądaj roszczenia takie jak iss, sub, exp i iat w formacie JSON lub tabeli z czytelnymi znacznikami czasu.

3

Zweryfikuj podpis JWT

Wprowadź klucz tajny lub klucz publiczny, aby zweryfikować podpis tokena. Obsługuje algorytmy HS256, HS384, HS512 (HMAC) do walidacji podpisu.

Czym jest JSON Web Token (JWT)?

nagłówek . ładunek . podpis

JSON Web Token (JWT) to otwarty standard (RFC 7519) do bezpiecznego przesyłania informacji między stronami jako kompaktowy, bezpieczny dla URL obiekt JSON. JWT są powszechnie używane do uwierzytelniania, autoryzacji i wymiany informacji w nowoczesnych aplikacjach webowych, API i systemach jednokrotnego logowania (SSO).

nagłówek

Zawiera typ tokena i algorytm podpisu (np. HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

ładunek

Zawiera roszczenia: zarejestrowane (iss, exp, sub), publiczne i prywatne.

{"sub": "user123", "exp": 1699999999}

podpis

Podpis kryptograficzny weryfikujący, że token nie został zmodyfikowany.

HMACSHA256(base64(header).base64(payload), secret)

Typowe przypadki użycia JWT

Uwierzytelnianie API

JWT to standard zabezpieczania REST API. Po zalogowaniu serwer wydaje JWT, który klient dołącza do nagłówka Authorization: Bearer w kolejnych żądaniach.

Jednokrotne logowanie (SSO)

JWT umożliwiają płynne uwierzytelnianie w wielu aplikacjach. Jedno logowanie generuje token, który działa we wszystkich połączonych usługach w organizacji.

Wymiana informacji

Bezpieczne przesyłanie danych między stronami. Podpis zapewnia tożsamość nadawcy i że wiadomość nie została zmieniona podczas przesyłania.

Uwierzytelnianie aplikacji mobilnych

Bezstanowe uwierzytelnianie idealne dla aplikacji mobilnych. Nie są potrzebne sesje po stronie serwera—JWT zawiera wszystkie niezbędne informacje o użytkowniku.

Często zadawane pytania

Czy ten dekoder JWT jest bezpieczny dla tokenów produkcyjnych?

Tak, ten dekoder JWT jest całkowicie bezpieczny. Całe dekodowanie i weryfikacja odbywa się wyłącznie w przeglądarce przy użyciu JavaScript. Twoje tokeny i klucze tajne nigdy nie są wysyłane na żaden serwer. Możesz to zweryfikować sprawdzając żądania sieciowe w narzędziach deweloperskich przeglądarki—żadne dane nie opuszczają Twojego urządzenia.

Jaka jest różnica między dekodowaniem a weryfikacją JWT?

Dekodowanie po prostu konwertuje nagłówek i ładunek zakodowany w Base64URL z powrotem do czytelnego JSON. Każdy może zdekodować JWT bez klucza. Weryfikacja sprawdza podpis kryptograficzny, aby upewnić się, że token nie został zmodyfikowany i został wydany przez zaufane źródło. Weryfikacja wymaga klucza tajnego (dla HMAC) lub klucza publicznego (dla RSA/ECDSA).

Jakie algorytmy podpisu JWT są obsługiwane?

To narzędzie może dekodować JWT podpisane dowolnym algorytmem. Do weryfikacji podpisu obecnie obsługujemy algorytmy HMAC (HS256, HS384, HS512) przy użyciu Web Crypto API. Wsparcie dla weryfikacji RSA (RS256, RS384, RS512) i ECDSA (ES256, ES384, ES512) jest planowane.

Dlaczego weryfikacja podpisu JWT kończy się niepowodzeniem?

Typowe przyczyny: 1) Nieprawidłowy klucz tajny—upewnij się, że używasz dokładnie tego samego klucza, którym podpisano token. 2) Nieprawidłowy format—spróbuj przełączyć między UTF-8 a Base64, jeśli Twój sekret jest zakodowany w Base64. 3) Niezgodność algorytmu—sprawdź, czy roszczenie alg w nagłówku odpowiada metodzie weryfikacji. 4) Token został zmodyfikowany—każda zmiana nagłówka lub ładunku unieważnia podpis.

Co oznaczają standardowe roszczenia JWT?

Zarejestrowane roszczenia zdefiniowane w RFC 7519:

  • iss (wydawca) – Kto wydał token
  • sub (podmiot) – Użytkownik lub podmiot, który token reprezentuje
  • aud (odbiorca) – Zamierzony odbiorca tokena
  • exp (wygaśnięcie) – Znacznik czasu Unix wygaśnięcia tokena
  • nbf (nie przed) – Token nie jest ważny przed tym czasem
  • iat (wydany o) – Kiedy token został utworzony
  • jti (ID JWT) – Unikalny identyfikator tokena