Zdekoduj dowolny JSON Web Token, aby zobaczyć jego nagłówek, payload i podpis — albo podpisz nowy token HS256/384/512. Weryfikuje podpisy HMAC lokalnie. 100% w Twojej przeglądarce.
Zdekoduj dowolny JSON Web Token, aby zobaczyć jego nagłówek, payload i podpis — albo podpisz nowy token HS256/384/512. Weryfikuje podpisy HMAC lokalnie. 100% w Twojej przeglądarce.
Nie. Całe narzędzie to JavaScript wewnątrz tej strony. Wklej token, dekodowanie odbywa się w Twojej przeglądarce, bajty nigdy nie opuszczają karty. Otwórz DevTools → Network i obserwuj — żadne żądania nie są wysyłane podczas dekodowania ani weryfikacji. Dzięki temu można bezpiecznie wklejać prawdziwe tokeny klientów lub produkcyjne.
Udowadnia, że token został podpisany przez kogoś posiadającego sekret (HMAC) lub klucz prywatny (RSA/ECDSA). NIE szyfruje payloadu — nagłówek i payload to po prostu JSON zakodowany w base64url, każdy posiadacz tokenu może je odczytać. Podpis blokuje jedynie modyfikacje: jeśli zmienisz pojedynczy bajt payloadu, podpis przestanie pasować.
JWT często zawiera ID użytkownika, e-mail, scopes i czasem ekwiwalent ciasteczek sesji — dokładnie te dane, których NIE wolno wklejać na obcy serwer. Dekoder iKit działa jako JavaScript już załadowany w karcie Twojej przeglądarki. Możliwe do sprawdzenia w DevTools → Network: żadnego fetch, XHR ani beacon podczas dekodowania czy weryfikacji.
Dla tokenów HS256/384/512 wpisz sekret podpisujący, aby zweryfikować podpis lokalnie. Dla RS256/ES256 (RSA/ECDSA) użyj biblioteki po stronie serwera — weryfikacja klucza publicznego wymaga pliku PEM, którego tutaj nie obsługujemy.
HS256 wymaga co najmniej 32 bajtów (256 bitów) dla prawdziwej siły kryptograficznej. Cokolwiek działa do testów, ale produkcja powinna używać długiego losowego sekretu.
Najszybszy sposób na debugowanie JWT — bez wysyłania, bez rejestracji, bez pośrednika między Tobą a Twoim tokenem.
Wklej JWT, zobacz zdekodowany nagłówek, payload i podpis obok siebie. Standardowe claims (iss, sub, aud, exp, iat) są opatrzone znacznikami czasu i etykietami.
Dla tokenów HS256/384/512 wpisz sekret, aby zweryfikować podpis za pomocą przeglądarkowego Web Crypto API. Sekret nigdy nie opuszcza Twojej karty.
Przełącz na tryb Enkoduj, edytuj nagłówek i payload jako JSON, wybierz algorytm, wpisz sekret i otrzymaj podpisany token natychmiast.
Payloady JWT zawierają identyfikatory użytkowników, e-maile, czasem scopes — nigdy nie wklejaj ich do narzędzia serwerowego. Dekoder iKit działa jako JavaScript w Twojej przeglądarce. Możliwe do sprawdzenia w DevTools → Network.
Standardowe claims jak exp, nbf, iat są wyróżniane czytelnymi datami i wyraźnym znacznikiem WYGASŁY / ważny, dzięki czemu od razu widzisz, czy token jest nadal dobry.
Zbudowany na natywnym Web Crypto API przeglądarki i parserze JSON — te same algorytmy co OpenSSL, libjwt, jose. Zachowanie zgodne z każdą nowoczesną biblioteką JWT.
JWT to trzy segmenty JSON zakodowane w base64url, oddzielone kropkami — to wszystko.
JWT wygląda jak aaa.bbb.ccc. Dzielimy po dwóch literalnych kropkach, otrzymując zakodowany nagłówek, payload i podpis. Jeśli nie dostaniemy dokładnie trzech części, token jest zniekształcony.
Nagłówek i payload to JSON UTF-8 zakodowany w base64url. Base64URL = Base64 z -/_ zamiast +//= i bez paddingu. Wykonujemy atob po przywróceniu znaków, a następnie JSON.parse na powstałym ciągu.
Nagłówek mówi nam o algorytmie (alg: HS256, RS256, itd.) i typie. Payload zawiera claims — standardowe (iss, sub, aud, exp, iat, nbf, jti) plus dowolne pola niestandardowe. Wyświetlamy każde w opisanej sekcji.
Dla HS256/384/512 ponownie obliczamy HMAC z header.payload używając wpisanego sekretu i porównujemy z podpisem w trzecim segmencie. Tak samo jak HMAC(SHA-256, secret, signing_input) zakodowane w base64url. Zgodność = podpis poprawny.
Realne sytuacje, w których sięgniesz po dekoder JWT.
Auth0, Firebase, Keycloak, AWS Cognito zwracają JWT po logowaniu. Wklej access_token, aby zobaczyć, jakie claims faktycznie otrzymuje Twoja aplikacja — jakie jest ID użytkownika, jakie scopes, kiedy wygasa?
API odrzuca Twoje żądanie? Zdekoduj token, aby sprawdzić: czy wygasł (exp w przeszłości)? Czy claim audience (aud) jest tym, czego oczekuje API? Czy issuer (iss) to właściwy tenant?
Stripe, GitHub Apps, Slack wysyłają payloady webhooków podpisane jako JWT. Po otrzymaniu wklej go w trybie Dekoduj wraz ze współdzielonym sekretem, aby potwierdzić, że żądanie naprawdę od nich pochodzi.
Potrzebujesz świeżego podpisanego JWT do testu integracyjnego? Przełącz na tryb Enkoduj, edytuj payload (własne ID użytkownika, własne wygaśnięcie), wybierz HS256 + Twój testowy sekret, otrzymaj token w milisekundach. Bez round-tripu do backendu.
JWT często zawiera ID użytkownika, e-mail, scopes i czasem ekwiwalent ciasteczek sesji — dokładnie te dane, których NIE wolno wklejać na obcy serwer. Dekoder iKit działa jako JavaScript już załadowany w karcie Twojej przeglądarki. Możliwe do sprawdzenia w DevTools → Network: żadnego fetch, XHR ani beacon podczas dekodowania czy weryfikacji.
Szczegółowe poradniki i porównania narzędzi z bloga iKit.
JWT segments are base64url-encoded JSON — understand the encoding before you debug a token.
JWT signatures are HMAC-SHA hashes — the same family of cryptographic hashes used to verify file integrity.
Nie. Całe narzędzie to JavaScript wewnątrz tej strony. Wklej token, dekodowanie odbywa się w Twojej przeglądarce, bajty nigdy nie opuszczają karty. Otwórz DevTools → Network i obserwuj — żadne żądania nie są wysyłane podczas dekodowania ani weryfikacji. Dzięki temu można bezpiecznie wklejać prawdziwe tokeny klientów lub produkcyjne.
Udowadnia, że token został podpisany przez kogoś posiadającego sekret (HMAC) lub klucz prywatny (RSA/ECDSA). NIE szyfruje payloadu — nagłówek i payload to po prostu JSON zakodowany w base64url, każdy posiadacz tokenu może je odczytać. Podpis blokuje jedynie modyfikacje: jeśli zmienisz pojedynczy bajt payloadu, podpis przestanie pasować.
Trzy najczęstsze przyczyny: (1) zły sekret — sekrety JWT rozróżniają wielkość liter, a każda niezgodność białych znaków łamie weryfikację. (2) Niezgodność algorytmu — nagłówek mówi HS256, ale sekret pierwotnie użyto z HS512. (3) Token został zmodyfikowany po podpisaniu — nawet jeden bajt psuje podpis. Sprawdź, czy header.alg odpowiada temu, czego oczekujesz.
iKit obsługuje obecnie tylko weryfikację HMAC (HS256/384/512). RS256 i ES256 używają kryptografii klucza publicznego — weryfikacja wymaga klucza publicznego wystawcy w formacie PEM, co jest bardziej złożonym UI. Na razie dekodowanie nadal działa (części header/payload/signature wyświetlają się poprawnie), ale przycisk Zweryfikuj poinformuje, że nie jest to obsługiwane. Weryfikacja RSA/ECDSA jest planowana.
Ta sama idea, inne ustawienia domyślne. Dekoder iKit działa w całości w Twojej przeglądarce (jwt.io też, ale kod iKit jest otwarty do view-source, a nasza domena nie ma trackerów stron trzecich). Dodajemy wyraźny znacznik WYGASŁY / ważny dla claim exp, ustrukturyzowane notatki claims (iat / nbf / iss / sub / aud / jti jako czytelne wiersze) oraz przycisk skopiuj-wszystko-zdekodowane, który daje pełny ustrukturyzowany output do wklejenia w raporcie błędu.