JWT dekoder
Darmowy dekoder JWT online. Wklej token JWT, aby zobaczyć zdekodowany nagłówek (header) i ładunek (payload) w czytelnym formacie JSON. Obsługa weryfikacji podpisów HS256/RS256. Profesjonalne narzędzie online, które działa w Twojej przeglądarce. Szybko, bezpiecznie i bez instalowania zbędnego oprogramowania.
-
1Wprowadź dane
Wpisz treść, wklej tekst lub załaduj plik z dysku. -
2Kliknij przycisk
Narzędzie natychmiast przetworzy Twoje dane w przeglądarce. -
3Pobierz wynik
Skopiuj gotowy tekst lub zapisz plik na urządzeniu.
return "Wynik gotowy w 0.1s";
}
Dekoder tokenów JWT
Dekoder tokenów JWT (JSON Web Token) pozwala natychmiast zdekodować każdy token JWT i odczytać jego nagłówek oraz ładunek w czytelnej postaci JSON. Narzędzie obsługuje weryfikację podpisów HMAC (HS256, HS384, HS512) i RSA (RS256, RS384, RS512) — bez instalacji bibliotek, bez backendu.
Czym jest JWT?
JSON Web Token (JWT) to otwarty standard (RFC 7519) bezpiecznej wymiany informacji w postaci podpisanego JSON. Token składa się z trzech segmentów oddzielonych kropkami: header (nagłówek z metadanymi i algorytmem), payload (ładunek z tzw. claimami, np. sub, exp, iat) i signature (podpis cyfrowy). Każdy segment jest zakodowany w formacie base64url. JWT jest szeroko stosowany w uwierzytelnianiu (OAuth 2.0, OIDC) i wymianie danych między mikroserwisami.
Jak używać dekodera?
Wklej token JWT w pole tekstowe — narzędzie automatycznie rozdzieli go na trzy segmenty i zdekoduje header oraz payload do czytelnego JSON. Aby zweryfikować podpis HMAC, wybierz tryb „Weryfikuj podpis", ustaw algorytm (lub zostaw „Automatycznie") i wpisz sekret w polu klucza. Dla tokenów RS256/RS384/RS512 wybierz typ „Klucz publiczny RSA" i wklej klucz w formacie PEM. Wynik pokazuje badge algorytmu, badge ważności podpisu oraz ostrzeżenia (np. token wygasł).
Algorytmy i bezpieczeństwo
JWT obsługuje wiele algorytmów podpisu. HS256/HS384/HS512 to algorytmy HMAC — do podpisania i weryfikacji używany jest ten sam sekret (klucz symetryczny). RS256/RS384/RS512 to algorytmy RSA — serwer podpisuje kluczem prywatnym, klient weryfikuje kluczem publicznym (asymetryczne). Wartość alg: none oznacza brak podpisu i jest niebezpieczna w produkcji. Zawsze sprawdzaj pole exp (czas wygaśnięcia) i iss (wystawca). Nigdy nie wklejaj produkcyjnych sekretów ani prywatnych kluczy w narzędzia online — do testów używaj przykładowych wartości.
Najczęstsze pytania
Czy dekodowanie JWT wymaga klucza?
Nie. Segmenty header i payload są jedynie zakodowane w base64url — każdy może je zdekodować bez znajomości klucza. Klucz jest potrzebny wyłącznie do weryfikacji podpisu, czyli sprawdzenia, że token nie został zmodyfikowany. To celowa właściwość standardu: JWT jest podpisany, nie zaszyfrowany (jeśli nie użyjesz JWE).
Co oznacza claim „exp" w tokenie JWT?
Claim exp (expiration time) to uniksowy timestamp określający moment wygaśnięcia tokenu. Aplikacja powinna odrzucać tokeny, w których exp jest w przeszłości. Narzędzie wyświetla ostrzeżenie, jeśli token wygasł. Analogicznie claim nbf (not before) wskazuje, od kiedy token jest ważny.
Jaka jest różnica między HS256 a RS256?
HS256 (HMAC-SHA256) używa jednego wspólnego sekretu do podpisywania i weryfikacji. RS256 (RSA-SHA256) używa pary kluczy: serwer podpisuje kluczem prywatnym, a strony zewnętrzne mogą weryfikować kluczem publicznym bez dostępu do klucza prywatnego. RS256 jest preferowany w architekturach z wieloma usługami i federowanym tożsamościami (np. OIDC).
Czy moje dane są bezpieczne?
Narzędzie działa całkowicie po stronie serwera — token jest przetwarzany tylko podczas aktualnej sesji i nie jest zapisywany ani udostępniany. Mimo to nigdy nie wklejaj w narzędzia online tokenów z produkcyjnymi danymi użytkowników ani sekretów kluczy produkcyjnych. Do testów zawsze używaj przykładowych lub dedykowanych tokenów testowych.