A(z) JWT dekóder névjegye
Illessz be egy JSON Web Tokent, és azonnal látod, mi van benne: a dekódolt fejlécet az aláírási algoritmussal, a teljes payloadot minden claimmel, valamint a regisztrált időbélyegeket (iat, exp, nbf) emberi dátumokra fordítva. Az eszköz egy pillantással azt is megmutatja, lejárt-e már a token, vagy mennyi ideje van hátra — nem kell többé epoch másodperceket másolgatnod egy külön átváltóba hibakeresés közben.
A JWT-k rendszeresen hordoznak munkamenet-azonosítókat, felhasználói adatokat és API-jogosultságokat, ezért egy ismeretlen weboldalba beilleszteni valódi biztonsági kockázat. Ez a dekóder mindent helyben, a böngésződben elemez: a token soha nem kerül továbbításra, naplózásra vagy tárolásra, így biztonságosan vizsgálhatsz valódi éles tokeneket bejelentkezési folyamatok, OAuth-integrációk, lejárati hibák és félrekonfigurált claimek hibakeresése közben. Vedd figyelembe, hogy a dekódolás csak olvassa a tokent — az aláírást nem ellenőrzi.
Funkciók
- Dekódolt fejléc és payload egymás mellett
- Az iat, exp és nbf claimek olvasható dátumokká alakítva
- Egyértelmű lejárt vagy érvényes állapot egy pillantásra
- Szabványos és egyéni claimeket egyaránt kezel
- A token helyben elemződik — nem hagyja el a böngésződet
- Ingyenes, azonnali, regisztráció nélkül
Hogyan dekódolj JWT-t online
- Másold ki a JWT-t az alkalmazásodból, API-válaszból vagy a böngészőtárolóból.
- Illeszd be a teljes tokent a beviteli mezőbe.
- Olvasd le azonnal a dekódolt fejlécet és payloadot.
- Ellenőrizd a lefordított iat és exp dátumokat és a lejárati állapotot.
- Nézd át az egyéni claimeket, hogy az auth folyamatod helyesen állítja-e be őket.
Gyakran ismételt kérdések
Biztonságos ide valódi JWT-t beilleszteni?
Igen. A token feldarabolása és Base64-dekódolása teljes egészében a böngésződben történik JavaScripttel — semmilyen kérés nem viszi szerverre, és semmi sem kerül naplózásra vagy tárolásra. Ettől függetlenül kezeld az éles tokeneket jelszóként: ez az eszköz nem szivárogtatja ki őket, de ne illeszd be olyan eszközökbe, amelyek nem tudják ugyanezt megígérni.
Ellenőrzi ez az eszköz a JWT aláírását?
Nem. Dekódolja a fejlécet és a payloadot, hogy elolvashasd a claimeket, de az aláírást nem ellenőrzi, mert az ellenőrzéshez a kibocsátó titkos vagy nyilvános kulcsa kell. Soha ne bízz egy token tartalmában jogosultsági döntésekhez anélkül, hogy szerveroldalon, a megfelelő kulccsal ellenőriznéd az aláírását.
Miért tudom elolvasni a JWT-t a titkos kulcs nélkül?
Mert a JWT-k kódoltak, nem titkosítottak. A fejléc és a payload csak Base64Url-kódolt JSON, amelyet bárki dekódolhat; a titok csupán az aláírást állítja elő, amely bizonyítja, hogy a tokent nem manipulálták. Ezért nem való érzékeny adat a JWT payloadjába, hacsak a token nincs ráadásul JWE-ként titkosítva.
Mit jelent az iat, az exp és az nbf?
Regisztrált időbélyeg-claimek Unix epoch másodpercben mérve: az iat a token kibocsátásának ideje, az exp a lejárata, az nbf pedig az a pillanat, amely előtt nem szabad elfogadni. Ez a dekóder mindhármat a helyi dátumodra és idődre váltja, és automatikusan megjelöli a lejárt tokeneket.
Miért nem sikerül dekódolni a tokenemet?
Egy érvényes JWT pontosan három, pontokkal elválasztott Base64Url szakaszból áll: fejléc, payload és aláírás. A dekódolás akkor bukik el, ha a token másolás közben csonkult, idézőjelek vagy egy 'Bearer ' előtag közé került, vagy egyáltalán nem JWT. Csak a nyers tokent illeszd be, és győződj meg róla, hogy mindkét pont túlélte a másolást.