JWT Decoder

I-decode ang isang JSON Web Token nang lokal, suriin ang header at payload na JSON, basahin ang mga karaniwang claim, at tingnan ang gabay sa timestamps nang hindi itinuturing ang pag-decode bilang pag-verify.

Lahat ng pag-decode ng JWT ay tumatakbo nang lokal sa iyong browser. Hindi ipinapadala ang mga token sa mga server ng Decode It.

Para sa pag-decode lamang

I-decode ang header at payload nang lokal. Hindi nito ini-verify ang mga signature o nagpapatunay na pinagkakatiwalaan ang token.

Huwag idikit ang mga signing secrets, private keys, o production tokens na hindi ka pinapayagang suriin.

Mabilis na mga halimbawa

Idikit ang isang JWT upang i-decode ang header, payload, mga time claim, at raw na mga segment.

Ipinapakita ng isang JWT decoder

Ang JSON Web Token o JWT ay isang compact na format ng token na karaniwang ginagamit sa authentication, authorization, sesyon ng API, at identity workflows. Karaniwang may tatlong bahagi ang JWT na pinaghiwalay ng tuldok: header, payload, at signature. Ang header at payload ay base64url-encoded na JSON, na nangangahulugang maaari silang i-decode at basahin nang hindi kailangan ang sekretong susi.

Nakatuon ang JWT decoder na ito sa inspeksyon. Inaayos nito ang header at payload, kinukuha ang mga karaniwang claim, ipinapakita ang raw segments, at ipinaliliwanag ang mga time-based claim tulad ng iat, nbf, at exp. Kapaki-pakinabang ito kapag dinidebug ang mga login flow, tawag sa API, test environment, OAuth integrations, o mga isyu sa habang-buhay ng token.

  • Basahin ang algorithm at uri ng token mula sa header.
  • Suriin ang issuer, subject, audience, at mga custom na payload claim.
  • I-convert ang mga NumericDate claim sa nababasang mga petsa.
  • Kopyahin ang na-decode na header, na-decode na payload, o raw token segments.

Ang pag-decode ay hindi pag-beripika

Sinasaad ng pag-decode ng JWT kung ano ang nakasaad sa token. Hindi nito pinapatunayan kung sino ang gumawa nito, kung nabago ang payload, kung tumutugma ang signature, o kung dapat tanggapin ng iyong aplikasyon ang token. Nangangailangan ang pag-verify ng signature ng tamang secret, public key, o JWKS configuration at dapat tumugma sa algorithm na inaasahan ng aplikasyon.

Iba ang bahagi ng signature mula sa header at payload. Isa itong cryptographic na halaga sa ibabaw ng encoded header at payload, hindi isa pang JSON object na i-de-decode. Ipinapakita ng pahinang ito ang signature sa raw segments output kapag mayroon, ngunit hindi ito humihiling ng signing keys o nagve-verify ng halaga.

Ituring ang pahinang ito bilang isang inspector, hindi isang awtoridad. Maaaring pekeng token ang na-decode, nag-expire, walang signature, naka-sign gamit ang hindi inaasahang susi, o tinanggihan ng serbisyong nag-isyu nito.

Mga karaniwang JWT claim

Claim Meaning Karaniwang gamit
iss Issuer Ang serbisyo o identity provider na nag-isyu ng token.
sub Subject Ang user, account, client, o entidad na nilalayon ng token.
aud Audience Ang API, app, o serbisyo na dapat tumanggap ng token.
iat Inilabas noong (Issued at) Kung kailan nilikha ang token.
nbf Hindi bago (Not before) Ang token ay hindi dapat tanggapin bago ang oras na ito.
exp Mag-e-expire noong (Expires at) Ang token ay hindi dapat tanggapin pagkatapos ng oras na ito.

Mga ligtas na gawi sa pag-debug

  • Gumamit ng mga test token hangga26#39;t maaari sa halip na mga production user token.
  • Huwag i-paste ang mga signing secret, private key, o API credentials sa isang decoder.
  • Suriing angkop ba ang algorithm sa inaasahan ng iyong aplikasyon.
  • Compare iss and aud ikumpara ang mga ito laban sa serbisyong iyong dini-debug.
  • Tandaan na maaaring magkaiba ang oras ng browser at server kapag dinidebug ang mga isyu sa pag-expire.

Kaugnay na lokal na mga tool

  • Gamitin ang Base64 Encoder Decoder kapag kailangan mong suriin ang ordinaryong base64 strings. Gumagamit ang JWT ng base64url, kaya mas angkop pa rin ang JWT decoder na ito para sa buong mga token.
  • Gamitin ang JSON Beautifier kapag nais mong i-format ang kinopyang mga payload object sa labas ng konteksto ng token.
  • Gamitin ang Unix Timestamp Converter kapag kailangan mo ng dedikadong tsek ng timestamp para sa mga NumericDate na halaga tulad ng iat, nbf, o exp.

Mga Madalas Itanong

Bine-beripika ba ng JWT decoder na ito ang mga signature?

Hindi. I-di-decode nito ang header at payload upang masuri mo ang mga ito, ngunit hindi nito bine-beripika ang signature o pinatutunayan na pinagkakatiwalaan ang token. Nangangailangan ang pag-verify ng sekretong pag-aari ng issuer, public key, o JWKS configuration. Hindi ipinapakita ang signature bilang na-decode na JSON panel dahil ito ay isang cryptographic na halaga, hindi nababasang claims data; ipinapakita lamang ito ng tool na ito sa raw segments output.

Kaya bang i-decode ng kahit sino ang isang JWT?

Oo, ang header at payload ay naka-encode, hindi naka-encrypt, maliban na lang kung gumagamit ang iyong sistema ng hiwalay na encrypted na format ng token. Huwag maglagay ng mga lihim sa JWT payloads.

Ano ang ibig sabihin ng nag-expire na JWT?

Kung ang exp claim ay nasa nakaraan, karaniwang dapat tanggihan ng server ang token. Maaaring ipakita ng pahinang ito ang timestamp, ngunit ang server ang huling awtoridad.

Bakit tinatanggap ng tool ang Bearer prefix?

Madalasang kinokopya ng mga developer ang mga token mula sa isang Authorization: Bearer ... header. Authorization: Bearer ... Inaalis ng tool ang prefix bago i-decode ang katawan ng token.