JWT dekoder
Sprawdź token, zanim zaczniesz szukać błędu autoryzacji. Dekoduj nagłówek, claims, algorytm, podpis i status wygaśnięcia.
Zakodowany token
Wynik dekodowania
Czym jest JWT?
JSON Web Token to kompaktowy format przenoszenia claims między systemami. W codziennym debugowaniu najważniejsze pytania są zwykle proste: kto wydał token, dla kogo jest, jakie uprawnienia deklaruje, którym algorytmem został podpisany i czy już wygasł.
Nagłówek
Pokazuje metadane tokenu, takie jak `typ`, `alg` i czasem `kid`, które wskazuje klucz użyty przez wystawcę.
Payload
Zawiera claims takie jak `sub`, `iss`, `aud`, `exp`, `iat`, role, identyfikatory tenantów albo dane autoryzacyjne specyficzne dla aplikacji.
Podpis
Chroni token przed modyfikacją, gdy serwer weryfikuje go oczekiwanym sekretem albo kluczem publicznym.
Wygaśnięcie
Claim `exp` często jest najszybszą wskazówką przy debugowaniu autoryzacji. Poprawnie zbudowany token nadal jest bezużyteczny, jeśli znajduje się poza oknem ważności.
FAQ JWT
Czy JWT są szyfrowane?
Zwykle nie. Standardowe JWT są kodowane, nie szyfrowane, więc każdy posiadacz tokenu może podejrzeć nagłówek i payload. Podpis chroni tylko integralność.
Czy dekodowanie JWT potwierdza, że token jest zaufany?
Nie. Dekodowanie pokazuje tylko zawartość tokenu. Zaufanie wymaga weryfikacji podpisu wobec oczekiwanego sekretu albo klucza publicznego oraz sprawdzenia issuer, audience, wygaśnięcia i reguł aplikacji.
Co dzieje się po wygaśnięciu tokenu?
Jeśli claim `exp` jest w przeszłości, serwer powinien odrzucić token, a klient musi zalogować się ponownie albo uzyskać nowy access token właściwym refresh flow.
Czy wklejać produkcyjne tokeny do dekodera?
Traktuj aktywne tokeny jak dane uwierzytelniające. Gdy to możliwe, używaj krótkotrwałych tokenów testowych i nie wklejaj wrażliwych tokenów produkcyjnych do narzędzi, których nie kontrolujesz.