Any-Tools.net
Convertidor gratuït

Fitxa JWT Descodificador

Descodifiqueu la capçalera i la càrrega útil JWT (JSON Web Token) a l'instant al vostre navegador. Gratuït, privat i del costat del client: no s'envien dades a cap servidor.

Eines relacionades

Veure totes les eines

Codificador d'URL / Descodificador

Codifiqueu i descodifiqueu URL i components URI a l'instant al vostre navegador. Gratuït, privat i no cal pujar.

Codificador Base64 / Descodificador

Codifiqueu text o fitxers a Base64 i descodifiqueu les cadenes de Base64 a l'instant al vostre navegador. Gratuït, privat i no cal pujar.

Formatador JSON & Validador

Formateu, embelliu i valideu JSON a l'instant al vostre navegador. No cal carregar-lo: completament privat i gratuït.

Formatador XML & Validador

Formateu, embelliu i valideu XML a l'instant al vostre navegador. No cal carregar-lo: completament privat i gratuït.

Sobre aquesta eina

Els testimonis web JSON (JWT) són un format compacte i segur per a URL per transmetre reclamacions entre dues parts, definit per RFC 7519. Un JWT són tres segments codificats en base64url separats per punts: capçalera (algorisme i tipus de testimoni), càrrega útil (reclamacions) i signatura (prova criptogràfica d'autenticitat). La capçalera i la càrrega útil són JSON, codificades en base64url per a la seguretat de l'URL; la signatura utilitza un dels diversos algorismes (HS256, RS256, ES256 i altres) sobre la capçalera codificada i la càrrega útil.

Descodificar un JWT, dividir-lo en segments i descodificar-lo en base64 cadascun, no requereix cap secret. Qualsevol persona amb el text del testimoni pot llegir-ne la capçalera i la càrrega útil. La signatura, però, només es pot verificar amb el secret (HMAC) o la clau pública (asimètrica). La descodificació és per inspecció; la verificació és el que demostra l'autenticitat.

Aquest descodificador divideix el testimoni, base64 descodifica cada segment, analitza la capçalera i la càrrega útil com a JSON i mostra el resultat. No intenta verificar la signatura perquè requereix la clau secreta o pública, que el descodificador no té. La sortida descodificada és una inspecció de només lectura, útil per depurar fitxes, però no és un substitut per a la verificació adequada del codi de l'aplicació.

Per què descodificar els JWT

La depuració dels problemes d'autenticació gairebé sempre implica la inspecció de fitxes. Un testimoni que sembla vàlid al codi pot tenir afirmacions incorrectes, un algorisme inesperat, una marca de temps d'exp caducada o una discrepància del públic. La descodificació del testimoni revela exactament el que va produir l'emissor.

La inspecció de fitxes durant el treball d'integració també ajuda. Quan us connecteu a una API de tercers o a un proveïdor d'identitats, els noms, els formats i l'estructura reals de les reclamacions s'entenen millor mitjançant la descodificació de testimonis de mostra en lloc de basar-vos en documentació que pot estar obsoleta.

Com utilitzar-la

Enganxeu el testimoni, obteniu el contingut analitzat.

  1. Enganxeu el vostre JWT: Deixeu anar el testimoni complet (header.payload.signature) a l'àrea d'entrada. El descodificador accepta fitxes amb o sense el prefix de portador opcional.
  2. Inspeccioneu la capçalera: La capçalera mostra l'algorisme de signatura (alg) i el tipus de testimoni (typ). Els algorismes comuns són HS256, RS256 i ES256. Compte amb alg: cap, que indica un testimoni sense signar i rarament és segur en producció.
  3. Inspeccioneu la càrrega útil: La càrrega útil conté les reclamacions: iss (emissor), sub (assumpte), aud (audiència), exp (caducitat), iat (emès a) i qualsevol reclamació específica de l'aplicació. Les marques de temps estàndard són segons d'època Unix.
  4. Comproveu per separat: El descodificador no verifica la signatura. Per comprovar l'autenticitat, executeu el testimoni a través d'una biblioteca JWT amb la clau pública o secreta adequada al codi de l'aplicació.

Casos d'ús comuns

Detalls tècnics

El format JWT és de tres segments units per punts. Cada segment està codificat en base64url: la variant segura per a URL de base64 que utilitza - i _ en comptes de + i /, amb el farciment de vegades omès. La descodificació requereix desfer les substitucions segures per a URL, omplir el segment i descodificar en base64.

La capçalera i la càrrega útil són JSON després de la descodificació. El segment de signatura és binari (bytes de signatura en brut) i no és llegible per l'home; requereix que la clau de verificació sigui útil.

Afirmacions comunes definides a RFC 7519: iss (emissor), sub (identificador del subjecte), aud (audiència), exp (caducitat com a segons d'època Unix), nbf (marca de temps no anterior), iat (marca de temps emesa), jti (ID de testimoni únic). Les reclamacions específiques de l'aplicació poden aparèixer amb qualsevol nom.

Bones pràctiques

Preguntes freqüents

És segur enganxar el meu JWT aquí?
Sí. La descodificació es fa completament al vostre navegador: el testimoni mai s'envia a cap servidor. Tanmateix, els JWT són credencials; no les compartiu públicament (en captures de pantalla, publicacions de Stack Overflow, etc.), ja que poden donar accés als vostres comptes.
Aquesta eina verifica la signatura JWT?
Aquesta eina descodifica i mostra el contingut del testimoni. La verificació de la signatura requereix la clau secreta (HMAC) o la clau pública (RSA/ECDSA), que hauria de romandre al vostre servidor. L'eina mostra l'algorisme utilitzat, però no pot verificar sense la clau.
Què signifiquen les afirmacions estàndard de JWT?
iss = emissor, sub = subjecte (ID d'usuari), exp = temps de caducitat (marca de temps Unix), iat = emès a, nbf = no abans, aud = audiència, jti = ID JWT. Les reclamacions personalitzades poden contenir qualsevol dada específica de l'aplicació.
Per què algú pot descodificar un JWT?
Els JWT estan codificats, no xifrats. La càrrega útil està codificada en Base64URL (no xifrada), de manera que qualsevol pot llegir-la. La signatura evita la manipulació, no la lectura. No emmagatzemeu mai dades sensibles (contrasenyes, SSN) a les càrregues útils JWT.
Per què a algunes fitxes els falta una signatura?
Fitxes amb alg: cap no té signatura. Són JWT vàlids per especificació, però no ofereixen garanties d'autenticitat i no s'han d'acceptar en producció.
Els JWT estan xifrats?
Les càrregues útils JWT estàndard estan signades però no xifrades. JWE (JSON Web Encryption, RFC 7516) és un format independent per a fitxes xifrades. La majoria de JWT en estat salvatge són JWS (només signats).
El meu testimoni està penjat a un servidor?
No. La descodificació es fa al vostre navegador; el testimoni no surt del vostre dispositiu.
Quant de temps solen ser els JWT?
Des d'uns quants centenars a diversos milers de caràcters. La longitud depèn del nombre i la mida de les reclamacions més la longitud de la signatura (que depèn de l'algorisme).

Related Articles

Developer

Essential Developer Tools: JSON, Base64, RegEx, and More

A comprehensive overview of the developer utilities every programmer should know, from data format converters to encoding tools.

9 min readDeveloper & Security

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Understand the differences between hashing, encryption, and encoding. Learn when to use MD5, SHA-256, Base64, AES, and other cryptographic tools in your applications.

10 min readData & Productivity

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Learn how to convert between spreadsheet and data formats like Excel, CSV, JSON, and XML. Practical tips for handling data migration, cleaning, and transformation.

10 min readPrivacy & Technology

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk

Discover why browser-based tools are replacing desktop software and cloud uploads. Learn how client-side processing keeps your files private while delivering powerful functionality.

7 min read