JWT dekóder

JWT fejléc és payload dekódolása a böngésződben, lejárat és claimek ellenőrzése — a tokenek soha nem hagyják el az eszközödet.

#development
Csak dekódolás — az aláírást NEM ellenőrzi. A tokened soha nem hagyja el a böngészőt.

A(z) JWT dekóder névjegye

Illessz be egy JSON Web Tokent, és azonnal látod, mi van benne: a dekódolt fejlécet az aláírási algoritmussal, a teljes payloadot minden claimmel, valamint a regisztrált időbélyegeket (iat, exp, nbf) emberi dátumokra fordítva. Az eszköz egy pillantással azt is megmutatja, lejárt-e már a token, vagy mennyi ideje van hátra — nem kell többé epoch másodperceket másolgatnod egy külön átváltóba hibakeresés közben.

A JWT-k rendszeresen hordoznak munkamenet-azonosítókat, felhasználói adatokat és API-jogosultságokat, ezért egy ismeretlen weboldalba beilleszteni valódi biztonsági kockázat. Ez a dekóder mindent helyben, a böngésződben elemez: a token soha nem kerül továbbításra, naplózásra vagy tárolásra, így biztonságosan vizsgálhatsz valódi éles tokeneket bejelentkezési folyamatok, OAuth-integrációk, lejárati hibák és félrekonfigurált claimek hibakeresése közben. Vedd figyelembe, hogy a dekódolás csak olvassa a tokent — az aláírást nem ellenőrzi.

Funkciók

  • Dekódolt fejléc és payload egymás mellett
  • Az iat, exp és nbf claimek olvasható dátumokká alakítva
  • Egyértelmű lejárt vagy érvényes állapot egy pillantásra
  • Szabványos és egyéni claimeket egyaránt kezel
  • A token helyben elemződik — nem hagyja el a böngésződet
  • Ingyenes, azonnali, regisztráció nélkül

Hogyan dekódolj JWT-t online

  1. Másold ki a JWT-t az alkalmazásodból, API-válaszból vagy a böngészőtárolóból.
  2. Illeszd be a teljes tokent a beviteli mezőbe.
  3. Olvasd le azonnal a dekódolt fejlécet és payloadot.
  4. Ellenőrizd a lefordított iat és exp dátumokat és a lejárati állapotot.
  5. Nézd át az egyéni claimeket, hogy az auth folyamatod helyesen állítja-e be őket.

Gyakran ismételt kérdések

Biztonságos ide valódi JWT-t beilleszteni?

Igen. A token feldarabolása és Base64-dekódolása teljes egészében a böngésződben történik JavaScripttel — semmilyen kérés nem viszi szerverre, és semmi sem kerül naplózásra vagy tárolásra. Ettől függetlenül kezeld az éles tokeneket jelszóként: ez az eszköz nem szivárogtatja ki őket, de ne illeszd be olyan eszközökbe, amelyek nem tudják ugyanezt megígérni.

Ellenőrzi ez az eszköz a JWT aláírását?

Nem. Dekódolja a fejlécet és a payloadot, hogy elolvashasd a claimeket, de az aláírást nem ellenőrzi, mert az ellenőrzéshez a kibocsátó titkos vagy nyilvános kulcsa kell. Soha ne bízz egy token tartalmában jogosultsági döntésekhez anélkül, hogy szerveroldalon, a megfelelő kulccsal ellenőriznéd az aláírását.

Miért tudom elolvasni a JWT-t a titkos kulcs nélkül?

Mert a JWT-k kódoltak, nem titkosítottak. A fejléc és a payload csak Base64Url-kódolt JSON, amelyet bárki dekódolhat; a titok csupán az aláírást állítja elő, amely bizonyítja, hogy a tokent nem manipulálták. Ezért nem való érzékeny adat a JWT payloadjába, hacsak a token nincs ráadásul JWE-ként titkosítva.

Mit jelent az iat, az exp és az nbf?

Regisztrált időbélyeg-claimek Unix epoch másodpercben mérve: az iat a token kibocsátásának ideje, az exp a lejárata, az nbf pedig az a pillanat, amely előtt nem szabad elfogadni. Ez a dekóder mindhármat a helyi dátumodra és idődre váltja, és automatikusan megjelöli a lejárt tokeneket.

Miért nem sikerül dekódolni a tokenemet?

Egy érvényes JWT pontosan három, pontokkal elválasztott Base64Url szakaszból áll: fejléc, payload és aláírás. A dekódolás akkor bukik el, ha a token másolás közben csonkult, idézőjelek vagy egy 'Bearer ' előtag közé került, vagy egyáltalán nem JWT. Csak a nyers tokent illeszd be, és győződj meg róla, hogy mindkét pont túlélte a másolást.