Dekoduj JSON Web Tokens i weryfikuj ich podpisy (HS256, RS256, ES256, EdDSA) całkowicie w przeglądarce za pomocą Web Crypto API.

JWT token

Header

Paste a token above to decode.

Payload

Paste a token above to decode.

Claims summary

Paste a token above to decode.

Secret or public key

Signature verification

Paste a secret or public key to verify.

Jak to działa

Wklej JSON Web Token do pola wejściowego — narzędzie natychmiast dzieli go na trzy części zakodowane w Base64URL (nagłówek, payload, podpis), dekoduje pierwsze dwie do JSON i wyświetla sformatowane. Standardowe claimy jak iat, nbf, exp, iss, sub i aud są pokazywane jako czytelne daty lub etykiety, dzięki czemu od razu zauważysz wygasłe lub jeszcze niewygasłe tokeny. Aby zweryfikować podpis, wklej sekret podpisujący (dla HS256/HS384/HS512) lub klucz publiczny w formacie PEM lub JWK (dla RS256, ES256, ES384, ES512 lub EdDSA). Narzędzie używa Web Crypto API do ponownego obliczenia podpisu nad header.payload i porównania go z segmentem podpisu w stałym czasie — zielona plakietka oznacza, że token jest autentyczny, czerwona że podpis jest nieprawidłowy lub użyto niewłaściwego klucza. Wszystko działa lokalnie: token, sekret i klucz nigdy nie opuszczają przeglądarki.

Przypadki użycia

Debugowanie błędów uwierzytelniania w aplikacji webowej lub mobilnej przez sprawdzenie dokładnie jakie claimy zawiera token

Weryfikacja, że wygasły lub zmanipulowany token jest poprawnie odrzucany przez twoją logikę autoryzacji

Sprawdzenie, czy dostawca tożsamości podpisuje tokeny właściwym kluczem i algorytmem

Nauczanie struktury JWT, claimów i typowych błędów (alg none, key confusion, brak exp) na prawdziwym przykładzie

Szybka triaż incydentu produkcyjnego, gdy token jest odrzucany przez usługę downstream