JWT Decoder

Wklej JWT i natychmiast zobacz jego nagłówek, payload i podpis.

..
{{ __t('section_header') }} 

                        


                        

                            

                                {{ __t('section_payload') }}
                                
                            

                            


                            

                                
{{ __t('claims_heading') }}

                                

                                    

                                    

                                        
                                        
                                    

                                

                            

                        


                        

                            

                                {{ __t('section_signature') }}
                                
                            

                            

                            

                                {{ __t('signature_note') }}
                            

                        


                    


                    

                        
                        
{{ __t('empty_state') }}

                    

                


            

        

    


    
    

        

            

                
Czym jest JWT?

                
JSON Web Token (JWT, RFC 7519) to otwarty standard bezpiecznego, zwartego przesyłania claims między dwiema stronami. JWT są używane w nowoczesnych API webowych do uwierzytelniania i autoryzacji — np. po logowaniu do identyfikacji użytkownika przy każdym kolejnym żądaniu.

                
Ważne: JWT nie jest szyfrowany, jedynie podpisany. Każdy, kto posiada token, może odczytać jego zawartość. Nie przechowuj haseł ani danych wrażliwych w payload.


                
Struktura JWT

                
    
                    
  • Nagłówek — opisuje typ tokena (typ) i algorytm podpisu (alg), np. HS256, RS256.
    • 
                    
  • Payload — zawiera claims (dane) w formacie JSON, zakodowane w base64url. Dozwolone są claims standardowe i niestandardowe.
    • 
                    
  • Podpis — kryptograficzny podpis nagłówka i payload, utworzony za pomocą algorytmu wskazanego w alg.
    • 
                


                
Standardowe claims (RFC 7519)

                
    
                    
  • iss — Issuer (wystawca tokena)
    • 
                    
  • sub — Subject (zwykle ID użytkownika)
    • 
                    
  • aud — Audience (zamierzony odbiorca tokena)
    • 
                    
  • exp — Expiration Time (czas wygaśnięcia jako Unix timestamp)
    • 
                    
  • iat — Issued At (czas wystawienia tokena)
    • 
                    
  • nbf — Not Before (nieważny przed tym momentem)
    • 
                


                
Czy to narzędzie jest bezpieczne?

                
Tak. Dekodowanie odbywa się w całości w przeglądarce przy użyciu JavaScript. Żaden token nie jest wysyłany na serwer i nic nie jest logowane. Implementację możesz w każdej chwili sprawdzić w narzędziach deweloperskich. Mimo to wklejaj tokeny produkcyjne tylko w zaufanych środowiskach.