Deweloper

Dekoder JWT

Wklej JSON Web Token, aby podzielić go na nagłówek, ładunek i podpis. Znaczniki czasowe, takie jak exp i iat, są formatowane na czytelne daty, a tabela roszczeń pokazuje każde pole na pierwszy rzut oka. Działa całkowicie w Twojej przeglądarce.

Token JWT

Czym jest JWT?

JSON Web Token (JWT) to kompaktowy, bezpieczny dla URL sposób reprezentacji roszczeń między dwiema stronami. Składa się z trzech segmentów zakodowanych w base64url połączonych kropkami: nagłówka, który określa algorytm podpisu, ładunku, który przenosi roszczenia, oraz podpisu, który dowodzi, że token został wydany przez kogoś posiadającego klucz podpisu. JWT są domyślnym formatem dla tokenów dostępu OAuth 2.0, tokenów ID OpenID Connect oraz większości systemów sesji bezstanowych. Ten dekoder dzieli token i pokazuje surowy JSON dla każdego segmentu — nie weryfikuje podpisu, ponieważ wymagałoby to tajnego klucza lub klucza publicznego wydawcy.

Jak używać dekodera JWT

1
Wklej swój token
Skopiuj JWT z nagłówka autoryzacji, logu debugowania lub URL. Powinien wyglądać jak eyJ...eyJ...podpis z trzema segmentami.
2
Przejrzyj nagłówek i ładunek
Nagłówek pokazuje algorytm (alg) i typ tokenu (typ). Ładunek wymienia każde roszczenie — sub, iss, aud, exp, iat oraz wszelkie niestandardowe pola.
3
Sprawdź ważność na pierwszy rzut oka
Banery ważności informują Cię od razu, czy token jest wygasły, aktywny, czy jeszcze nie ważny (nbf). Roszczenia czasowe są pokazane zarówno w formie UTC, jak i względnej.
4
Skopiuj poszczególne sekcje
Użyj przycisku kopiowania na panelu nagłówka lub ładunku, aby uzyskać czysty JSON do debugowania, udostępniania lub wklejania do innego narzędzia.

Anatomia JWT

JWT ma trzy segmenty base64url połączone kropkami:
 
    nagłówek.ładunek.podpis
 
Nagłówek  — JSON opisujący algorytm podpisu
          { "alg": "HS256", "typ": "JWT" }
 
Ładunek — JSON przenoszący roszczenia
          { "sub": "1234", "exp": 1700000000 }
 
Podpis — HMAC lub RSA nad nagłówek.ładunek, zakodowany w base64url
 
Standardowe roszczenia czasowe (sekundy od epoki):
  exp  = czas wygaśnięcia
  iat  = wydany w
  nbf  = nie wcześniej niż

Nagłówek i ładunek to zwykły JSON, który każdy może przeczytać — base64url to kodowanie, a nie szyfrowanie. Podpis to to, co sprawia, że token jest godny zaufania: jest obliczany przez wydawcę przy użyciu tajnego klucza (dla algorytmów HS*) lub klucza prywatnego (dla algorytmów RS*/ES*) nad pierwszymi dwoma segmentami. Serwer, który otrzymuje token, ponownie oblicza podpis za pomocą odpowiadającego tajnego lub publicznego klucza i odrzuca wszystko, co się nie zgadza. Dlatego nigdy nie powinieneś umieszczać wrażliwych danych, takich jak hasła, w ładunku, i dlatego to narzędzie tylko dekoduje — weryfikacja wymaga klucza wydawcy.

Referencja: RFC 7519 — JSON Web Token (JWT)

Przykłady

Wejście	Wyjście
Nagłówek: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Minimalny nagłówek dla tokenu HMAC-SHA256.
Ładunek z roszczeniem exp	{ "sub": "1234", "exp": 1700000000 } exp to sekundy od epoki — 2023-11-14 w UTC.
Wygasły token	Token wygasł · Wygasa 2024-01-01 (3 miesiące temu) Baner ważności zmienia kolor na czerwony, gdy exp jest w przeszłości.
Źle sformatowany token (tylko dwa segmenty)	Nieprawidłowy token: oczekiwano 3 segmentów, otrzymano 2 JWT musi mieć dokładnie trzy części oddzielone kropkami w base64url.

Typowe przypadki użycia

Debuguj token dostępu OAuth, aby zobaczyć, jakie zakresy i odbiorców zawiera
Sprawdź, czy nieudane żądanie jest spowodowane wygasłym tokenem
Zbadaj token ID OpenID Connect, aby odczytać roszczenia użytkownika, takie jak sub i email
Zdekoduj token magicznego linku lub resetu hasła, aby potwierdzić podpisany ładunek
Zweryfikuj, czy poprawny wydawca (iss) i odbiorca (aud) są ustawione na tokenie
Odczytaj nagłówek kid, aby dowiedzieć się, który klucz podpisu został użyty
Porównaj dwa tokeny obok siebie podczas badania błędu sesji
Naucz członków zespołu, jak są zbudowane JWT bez pisania jakiegokolwiek kodu

Powiązane narzędzia

Formatter JSON

Formatuj, waliduj i minimalizuj JSON z precyzyjnym raportowaniem linii i kolumn błędów.

Kodownik Base64

Koduj i dekoduj tekst Base64 z opcjonalną wersją bezpieczną dla URL i wsparciem UTF-8.

Konwerter znaczników czasu Unix

Konwertuj między numerami epok a datami z automatycznym wykrywaniem sekund i milisekund.

Kalkulator wieku

Oblicz swój dokładny wiek w latach, miesiącach i dniach od dowolnej daty urodzenia.

Najczęściej zadawane pytania

Czy to narzędzie weryfikuje podpis?

Nie. Weryfikacja podpisu wymaga tajemnicy wydawcy (dla algorytmów HMAC) lub klucza publicznego (dla RSA i ECDSA). To narzędzie tylko dekoduje nagłówek i ładunek, abyś mógł je odczytać. Traktuj każdy token, który tutaj zdekodujesz, jako nieufny, dopóki twój backend nie zweryfikuje podpisu w stosunku do klucza wydawcy.

Czy bezpiecznie jest wkleić prawdziwego JWT tutaj?

Wszystko działa w twojej przeglądarce — token nigdy nie jest przesyłany, przechowywany ani rejestrowany. To powiedziawszy, token dostępu w twoich rękach jest tak potężny jak hasło: jeśli twoja przeglądarka ma rozszerzenia, które odczytują zawartość strony, teoretycznie mogłyby go zobaczyć. Dla paranoicznego debugowania użyj nowego prywatnego okna lub dekoduj offline.

Dlaczego podpis jest pokazany jako bajty zamiast tekstu?

Podpis to surowy blob binarny — zazwyczaj 32 bajty dla HS256, 256 bajtów dla RS256. Jest kodowany w base64url w tokenie, ale zdekodowana forma nie jest czytelna dla ludzi, więc narzędzie podaje liczbę bajtów zamiast próbować wyświetlić zniekształcone znaki.

Jaka jest różnica między exp, iat i nbf?

To trzy standardowe roszczenia czasowe z RFC 7519. exp to czas wygaśnięcia — po tym momencie token jest nieważny. iat to czas wydania — kiedy token został utworzony. nbf to czas nieprzed — najwcześniejszy czas, w którym token może być użyty. Wszystkie trzy są mierzone w sekundach od epoki Unix.

Moje znaczniki czasowe wyglądają na bardzo błędne — czy są złe?

JWT używają sekund od epoki, a nie milisekund. To narzędzie automatycznie wykrywa jednostkę, sprawdzając, czy wartość jest większa niż 10^12 (traktowane jako milisekundy). Jeśli masz niestandardowe roszczenie przechowujące znacznik czasu pod inną nazwą, jest wyświetlane jako surowa liczba, a nie jako data.

Dlaczego dekodowanie kończy się niepowodzeniem z "nieprawidłowy base64url"?

Segment zawiera znaki spoza alfabetu base64url (A-Z a-z 0-9 - _) lub brakuje mu paddingu. Kopiowanie i wklejanie z klientów e-mailowych lub aplikacji czatowych może cicho wprowadzać białe znaki lub inteligentne cudzysłowy. Spróbuj skopiować token z nowego źródła, takiego jak narzędzia dewelopera przeglądarki.

Czy mogę zdekodować zaszyfrowany JWT (JWE)?

Nie. To narzędzie dekoduje podpisane JWT (JWS). Token JWE ma pięć segmentów zamiast trzech, a jego ładunek jest zaszyfrowany, a nie tylko zakodowany — potrzebujesz prywatnego klucza odbiorcy, aby go odczytać. Zwykły token JWS z zaszyfrowanym roszczeniem (takim jak nieprzezroczyste tokeny Auth0) również nie zdekoduje się do czytelnego JSON.

Czy potrzebuję opcji Base64 bezpiecznej dla URL?

Segmenty JWT są zawsze kodowane w base64url, więc narzędzie obsługuje to automatycznie — nie jest potrzebna żadna opcja. Jeśli musisz kodować lub dekodować dowolny tekst base64url poza JWT, użyj osobnego kodera Base64 z zaznaczoną opcją bezpieczną dla URL.

Ostatnia aktualizacja 2026-04-21

Åadowanie...

Czym jest JWT?

Jak używać dekodera JWT

Wklej swój token

Skopiuj JWT z nagłówka autoryzacji, logu debugowania lub URL. Powinien wyglądać jak eyJ...eyJ...podpis z trzema segmentami.

Przejrzyj nagłówek i ładunek

Nagłówek pokazuje algorytm (alg) i typ tokenu (typ). Ładunek wymienia każde roszczenie — sub, iss, aud, exp, iat oraz wszelkie niestandardowe pola.

Sprawdź ważność na pierwszy rzut oka

Banery ważności informują Cię od razu, czy token jest wygasły, aktywny, czy jeszcze nie ważny (nbf). Roszczenia czasowe są pokazane zarówno w formie UTC, jak i względnej.

Skopiuj poszczególne sekcje

Użyj przycisku kopiowania na panelu nagłówka lub ładunku, aby uzyskać czysty JSON do debugowania, udostępniania lub wklejania do innego narzędzia.

Anatomia JWT

JWT ma trzy segmenty base64url połączone kropkami:
 
    nagłówek.ładunek.podpis
 
Nagłówek  — JSON opisujący algorytm podpisu
          { "alg": "HS256", "typ": "JWT" }
 
Ładunek — JSON przenoszący roszczenia
          { "sub": "1234", "exp": 1700000000 }
 
Podpis — HMAC lub RSA nad nagłówek.ładunek, zakodowany w base64url
 
Standardowe roszczenia czasowe (sekundy od epoki):
  exp  = czas wygaśnięcia
  iat  = wydany w
  nbf  = nie wcześniej niż

Przykłady

Wejście	Wyjście
Nagłówek: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9	{ "alg": "HS256", "typ": "JWT" } Minimalny nagłówek dla tokenu HMAC-SHA256.
Ładunek z roszczeniem exp	{ "sub": "1234", "exp": 1700000000 } exp to sekundy od epoki — 2023-11-14 w UTC.
Wygasły token	Token wygasł · Wygasa 2024-01-01 (3 miesiące temu) Baner ważności zmienia kolor na czerwony, gdy exp jest w przeszłości.
Źle sformatowany token (tylko dwa segmenty)	Nieprawidłowy token: oczekiwano 3 segmentów, otrzymano 2 JWT musi mieć dokładnie trzy części oddzielone kropkami w base64url.

Typowe przypadki użycia

Debuguj token dostępu OAuth, aby zobaczyć, jakie zakresy i odbiorców zawiera

Sprawdź, czy nieudane żądanie jest spowodowane wygasłym tokenem

Zbadaj token ID OpenID Connect, aby odczytać roszczenia użytkownika, takie jak sub i email

Zdekoduj token magicznego linku lub resetu hasła, aby potwierdzić podpisany ładunek

Zweryfikuj, czy poprawny wydawca (iss) i odbiorca (aud) są ustawione na tokenie

Odczytaj nagłówek kid, aby dowiedzieć się, który klucz podpisu został użyty

Porównaj dwa tokeny obok siebie podczas badania błędu sesji

Naucz członków zespołu, jak są zbudowane JWT bez pisania jakiegokolwiek kodu