Czy wklejenie tutaj mojego JWT jest bezpieczne?

Tak. Dekodowanie odbywa się całkowicie w przeglądarce — token nigdy nie jest wysyłany na żaden serwer. Jednak JWT to dane uwierzytelniające — nie udostępniaj ich publicznie (na zrzutach ekranu, w postach Stack Overflow itp.), ponieważ mogą one zapewnić dostęp do Twoich kont.

Czy to narzędzie weryfikuje podpis JWT?

To narzędzie dekoduje i wyświetla zawartość tokena. Weryfikacja podpisu wymaga tajnego klucza (HMAC) lub klucza publicznego (RSA/ECDSA), który powinien pozostać na Twoim serwerze. Narzędzie pokazuje zastosowany algorytm, ale nie może zweryfikować go bez klucza.

Co oznaczają standardowe roszczenia JWT?

iss = wystawca, sub = temat (identyfikator użytkownika), exp = czas wygaśnięcia (znacznik czasu Unix), iat = wydany o, nbf = nie wcześniej, aud = publiczność, jti = identyfikator JWT. Oświadczenia niestandardowe mogą zawierać dowolne dane specyficzne dla aplikacji.

Dlaczego każdy może dekodować JWT?

Tokeny JWT są kodowane, a nie szyfrowane. Ładunek jest zakodowany w formacie Base64URL (nie jest szyfrowany), więc każdy może go odczytać. Podpis zapobiega manipulacji, a nie czytaniu. Nigdy nie przechowuj wrażliwych danych (hasła, numery SSN) w ładunkach JWT.

Dlaczego na niektórych tokenach brakuje podpisu?

Tokeny z alg: żadne nie mają podpisu. Są to ważne JWT według specyfikacji, ale nie dają gwarancji autentyczności i nie powinny być akceptowane w produkcji.

Czy JWT są szyfrowane?

Standardowe ładunki JWT są podpisane, ale nie szyfrowane. JWE (JSON Web Encryption, RFC 7516) to odrębny format zaszyfrowanych tokenów. Większość JWT na wolności to JWS (tylko z podpisem).

Czy mój token został przesłany na serwer?

Nie. Dekodowanie odbywa się w Twojej przeglądarce; token nie opuszcza Twojego urządzenia.

Jak długie są zazwyczaj JWT?

Dowolnie od kilkuset do kilku tysięcy znaków. Długość zależy od liczby i rozmiaru roszczeń oraz długości podpisu (która zależy od algorytmu).

Token JWT Dekoder | Any-Tools.net

O tym narzędziu

Tokeny internetowe JSON (JWT) to kompaktowy, bezpieczny dla adresów URL format przesyłania roszczeń między dwiema stronami, zdefiniowany w dokumencie RFC 7519. JWT to trzy segmenty zakodowane w formacie base64url oddzielone kropkami: nagłówek (algorytm i typ tokena), ładunek (oświadczenia) i podpis (kryptograficzny dowód autentyczności). Nagłówek i ładunek to JSON, zakodowany w formacie base64url w celu zapewnienia bezpieczeństwa adresu URL; podpis wykorzystuje jeden z kilku algorytmów (HS256, RS256, ES256 i inne) w oparciu o zakodowany nagłówek i ładunek.

Dekodowanie JWT — dzielenie go na segmenty i dekodowanie każdego z nich w formacie base64 — nie wymaga żadnego sekretu. Każda osoba posiadająca tekst tokena może przeczytać jego nagłówek i ładunek. Podpis można jednak zweryfikować jedynie za pomocą sekretu (HMAC) lub klucza publicznego (asymetryczny). Dekodowanie służy do kontroli; weryfikacja jest tym, co potwierdza autentyczność.

Ten dekoder dzieli token, dekoduje każdy segment za pomocą base64, analizuje nagłówek i ładunek jako JSON i wyświetla wynik. Nie podejmuje próby weryfikacji podpisu, ponieważ wymaga to tajnego lub publicznego klucza, którego dekoder nie posiada. Zdekodowany wynik to kontrola tylko do odczytu — przydatna do debugowania tokenów, ale nie zastępuje właściwej weryfikacji w kodzie aplikacji.

Po co dekodować JWT

Debugowanie problemów z uwierzytelnianiem prawie zawsze wiąże się ze sprawdzaniem tokenów. Token, który wygląda na prawidłowy w kodzie, może zawierać błędne oświadczenia, nieoczekiwany algorytm, wygasłą sygnaturę czasową ważności lub niedopasowanie odbiorców. Dekodowanie tokena ujawnia dokładnie, co wyprodukował emitent.

Pomocne jest również sprawdzanie tokenów podczas prac integracyjnych. Podczas łączenia się z zewnętrznym interfejsem API lub dostawcą tożsamości rzeczywiste nazwy, formaty i strukturę roszczeń najlepiej zrozumieć poprzez dekodowanie przykładowych tokenów, zamiast polegać na dokumentacji, która może być nieaktualna.

Jak używać

Wklej token, pobierz przeanalizowaną zawartość.

Wklej swój JWT: Upuść pełny token (header.payload.signature) w obszarze wejściowym. Dekoder akceptuje tokeny z opcjonalnym prefiksem nośnika lub bez niego.
Sprawdź nagłówek: Nagłówek pokazuje algorytm podpisywania (alg) i typ tokena (typ). Typowe algorytmy to HS256, RS256 i ES256. Uważaj na alg: none, który sygnalizuje niepodpisany token i rzadko jest bezpieczny w produkcji.
Sprawdź ładunek: Ładunek zawiera oświadczenia: iss (wydawca), sub (podmiot), aud (odbiorcy), exp (wygaśnięcie), iat (wystawiony w) oraz wszelkie oświadczenia specyficzne dla aplikacji. Standardowe znaczniki czasu to sekundy epoki Uniksa.
Sprawdź osobno: Dekoder nie weryfikuje podpisu. Aby sprawdzić autentyczność, uruchom token za pośrednictwem biblioteki JWT z odpowiednim kluczem tajnym lub publicznym w kodzie aplikacji.

Typowe przypadki użycia

Debugowanie błędów wygasłych tokenów — Dekodowanie tokena ujawnia żądanie exp. Porównaj z bieżącym czasem, aby potwierdzić, czy rzeczywistą przyczyną jest wygaśnięcie.
Zrozumienie struktury oświadczeń tokenu strony trzeciej — Dostawcy tożsamości (Auth0, Okta, Cognito) wydają tokeny z układami oświadczeń specyficznymi dla dostawcy. Dekodowanie przykładowych tokenów pokazuje rzeczywistą strukturę.
Sprawdzanie tokenów podczas integracji — Podczas integracji przepływów SSO lub OAuth dekodowanie tokenów na każdym kroku pomaga zweryfikować, czy dane mają kształt zgodny z oczekiwaniami.
Inspekcja zawartości tokena pod kątem wrażliwych danych — Tokeny nie są domyślnie szyfrowane; ładunek jest czytelny. Dekodowanie istniejących tokenów pomaga upewnić się, że wrażliwe dane nie zostały uwzględnione przypadkowo.
Weryfikacja roszczeń odbiorców i emitentów — Obrona przed pomyłkami związanymi z tokenami wymaga prawidłowej obsługi aud i iss. Dekodowanie tokenów podczas testowania potwierdza, że te oświadczenia są prawidłowo wypełnione.

Szczegóły techniczne

Format JWT to trzy segmenty połączone kropkami. Każdy segment jest zakodowany w formacie base64url — bezpiecznym dla adresu URL wariantem base64, w którym używane są - i _ zamiast + i /, czasami z pominięciem dopełnienia. Dekodowanie wymaga cofnięcia podstawień bezpiecznych dla adresów URL, dopełnienia segmentu i dekodowania base64.

Nagłówek i ładunek są po dekodowaniu w formacie JSON. Segment podpisu jest binarny (surowe bajty podpisu) i nie jest czytelny dla człowieka; wymaga klucza weryfikacyjnego, aby był użyteczny.

Typowe oświadczenia zdefiniowane w RFC 7519: iss (wystawca), sub (identyfikator podmiotu), aud (odbiorcy), exp (wygaśnięcie w sekundach epoki Uniksa), nbf (nie przed znacznikiem czasu), iat (wystawiony w znaczniku czasu), jti (unikalny identyfikator tokena). Oświadczenia specyficzne dla aplikacji mogą pojawiać się pod dowolną nazwą.

Najlepsze praktyki

Nigdy nie ufaj niezweryfikowanemu JWT — Dekodowanie ujawnia jedynie treść; nie potwierdza autentyczności. Zawsze sprawdzaj podpis za pomocą odpowiedniego klucza w kodzie aplikacji, zanim zaufasz twierdzeniom.
Uważaj na alg: brak — Tokeny z alg: żadne nie mają podpisu. Kod aplikacji, który je akceptuje, jest podatny na fałszerstwa. Zawsze wymagaj określonego algorytmu w konfiguracji weryfikacji.
Zachowaj ostrożność w przypadku wrażliwych danych w ładunkach — Ładunki JWT są czytelne dla każdego, kto posiada token. Zaszyfruj ładunek (użyj JWE), jeśli zawiera dane, które muszą być tajne.
Zweryfikuj exp przed przetworzeniem — Wygasły token należy odrzucić nawet jeśli podpis jest ważny. Biblioteki JWT zazwyczaj automatycznie sprawdzają exp; sprawdź, czy Twoja biblioteka to robi.

Często zadawane pytania

Czy wklejenie tutaj mojego JWT jest bezpieczne?: Tak. Dekodowanie odbywa się całkowicie w przeglądarce — token nigdy nie jest wysyłany na żaden serwer. Jednak JWT to dane uwierzytelniające — nie udostępniaj ich publicznie (na zrzutach ekranu, w postach Stack Overflow itp.), ponieważ mogą one zapewnić dostęp do Twoich kont.
Czy to narzędzie weryfikuje podpis JWT?: To narzędzie dekoduje i wyświetla zawartość tokena. Weryfikacja podpisu wymaga tajnego klucza (HMAC) lub klucza publicznego (RSA/ECDSA), który powinien pozostać na Twoim serwerze. Narzędzie pokazuje zastosowany algorytm, ale nie może zweryfikować go bez klucza.
Co oznaczają standardowe roszczenia JWT?: iss = wystawca, sub = temat (identyfikator użytkownika), exp = czas wygaśnięcia (znacznik czasu Unix), iat = wydany o, nbf = nie wcześniej, aud = publiczność, jti = identyfikator JWT. Oświadczenia niestandardowe mogą zawierać dowolne dane specyficzne dla aplikacji.
Dlaczego każdy może dekodować JWT?: Tokeny JWT są kodowane, a nie szyfrowane. Ładunek jest zakodowany w formacie Base64URL (nie jest szyfrowany), więc każdy może go odczytać. Podpis zapobiega manipulacji, a nie czytaniu. Nigdy nie przechowuj wrażliwych danych (hasła, numery SSN) w ładunkach JWT.
Dlaczego na niektórych tokenach brakuje podpisu?: Tokeny z alg: żadne nie mają podpisu. Są to ważne JWT według specyfikacji, ale nie dają gwarancji autentyczności i nie powinny być akceptowane w produkcji.
Czy JWT są szyfrowane?: Standardowe ładunki JWT są podpisane, ale nie szyfrowane. JWE (JSON Web Encryption, RFC 7516) to odrębny format zaszyfrowanych tokenów. Większość JWT na wolności to JWS (tylko z podpisem).
Czy mój token został przesłany na serwer?: Nie. Dekodowanie odbywa się w Twojej przeglądarce; token nie opuszcza Twojego urządzenia.
Jak długie są zazwyczaj JWT?: Dowolnie od kilkuset do kilku tysięcy znaków. Długość zależy od liczby i rozmiaru roszczeń oraz długości podpisu (która zależy od algorytmu).

Token JWT Dekoder

Powiązane narzędzia

Koder URL / Dekoder

Koder Base64 / Dekoder

Formater JSON & Walidator

Formater XML & Walidator

O tym narzędziu

Po co dekodować JWT

Jak używać

Typowe przypadki użycia

Szczegóły techniczne

Najlepsze praktyki

Często zadawane pytania

Related Articles

Essential Developer Tools: JSON, Base64, RegEx, and More

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk