Pracovisko nástroja
JWT decoder a JSON Web Token parser online
Dekódujte JWT header, payload a metadáta tokenu v prehliadači.
JWT decoder
JWT decoder
bajtov →
JWT decoder
Parametre dopytu
IDN / Punycode
JWT decoder
..
Hlavička
Payload
Metadáta
· Vyprší:
Overiť podpis
Podpísať (HS)
JWT decoder
Knižnica vzorov
Zvýraznené zhody
Zhody ()
Výsledok náhrady
JWT decoder
Relatívne:
Časové pásmo
Zostaviť z častí
Rozdiel
JWT decoder
JWT decoder
JWT decoder
Príklady
Token
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Dekódovaný payload
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Návody a články
Ako funguje JSON Web Token a čo dokazuje jeho podpis
JWT prenáša čitateľné tvrdenia v kompaktnom formáte. Podpis chráni ich integritu a pôvod, nie dôvernosť obsahu.
Čítať článokBezpečnostné chyby JWT a ako im predchádzať
Najčastejšie zlyhania nevznikajú prelomením kryptografie, ale benevolentnou validáciou, únikom bearer tokenov a zlým lifecycle.
Čítať článokJWT alebo serverová session: výber autentizačného modelu
JWT a sessions ukladajú autoritu na iné miesto. Rozhodnutie ovplyvňuje revokáciu, súkromie, škálovanie aj incidentnú prevádzku.
Čítať článokJWT decoder
Dekódujte JWT header, payload a metadáta tokenu v prehliadači. DevToolGrid Online ponúka bezplatný JWT decoder a JSON Web Token parser online.
Čo je JWT?
JWT (JSON Web Token) je kompaktný token bezpečný pre URL, používaný na autentifikáciu a autorizáciu. Má tri časti Base64URL oddelené bodkami: hlavičku (algoritmus podpisu), payload (claims ako id používateľa a platnosť) a podpis, ktorý chráni prvé dve časti pred úpravou. Hlavička a payload sú len zakódované, nie zašifrované.
Ako dekódovať a overiť JWT
- 1 Vložte token do vstupu; hlavička a payload sa dekódujú okamžite.
- 2 Prečítajte si claims a čitateľný stav platnosti (exp) a not-before (nbf).
- 3 Na overenie vložte tajomstvo pre HS256/384/512 alebo verejný kľúč pre algoritmy RS/ES.
- 4 Voliteľne podpíšte nový HS token z hlavičky, payloadu a tajomstva.
Časté chyby s JWT
- Tajomstvá v payloadePayload je len zakódovaný Base64 a čitateľný pre kohokoľvek. Nikdy doň neukladajte heslá ani citlivé dáta.
- Neoverenie podpisuDekódovanie tokenu nedokazuje jeho pravosť. Podpis vždy overujte na serveri.
- Ignorovanie platnostiToken po čase exp treba odmietnuť, aj keď je podpis platný.
Dekódovanie vs overenie JWT
Dekódovanie iba číta hlavičku a payload — môže to každý, lebo tieto časti nie sú šifrované. Overenie porovná podpis s tajomstvom alebo verejným kľúčom a potvrdí, že token vydala dôveryhodná strana a nebol zmenený. Tento nástroj dekóduje akýkoľvek token a overuje podpisy HS, RS, ES a PS v prehliadači.
Časté otázky
Je tento nástroj zadarmo?
Áno. Dekodér a overovač JWT sú úplne zadarmo, bez registrácie.
Odosiela sa môj token na server?
Nie. Dekódovanie, overenie aj podpis prebiehajú lokálne v prehliadači, tokeny neopustia zariadenie.
Overuje sa podpis naozaj?
Áno. Zadajte tajomstvo alebo verejný kľúč a nástroj overí podpis cez Web Crypto API.
Je bezpečné vložiť produkčný token?
Keďže všetko beží lokálne, token sa neprenáša. Napriek tomu so živými tokenmi zaobchádzajte opatrne a preferujte testovacie.