Pro — bez reklam
advertisement
// JWT → nagłówek + treść

Dekoder JWT

Wklej token JSON Web Token, aby zobaczyć, co się w nim tak naprawdę znajduje — nagłówek i treść, zdekodowane i sformatowane.

advertisement

Co dekodowanie JWT mówi, a czego nie mówi

Nagłówek i treść tokenu JWT to po prostu JSON zakodowany w Base64URL — każdy może je zdekodować i odczytać, bez potrzeby znajomości żadnego sekretu, i to właśnie robi to narzędzie. Nie potrafi natomiast zweryfikować podpisu: wymaga to sekretu lub klucza publicznego wystawcy tokenu, których celowo nie wkleja się na przypadkową stronę internetową.

Czy to narzędzie sprawdza, czy token jest ważny i nie wygasł?

Nie — dekoduje jedynie czytelne części. Weryfikacja podpisu i sprawdzanie wygaśnięcia („exp”) odbywa się na serwerze, który wystawił token, przy użyciu sekretu, którego to narzędzie nigdy nie widzi.

Czy JWT ma być czytelny w ten sposób?

Tak — nagłówek i treść są tylko zakodowane, a nie zaszyfrowane. Nigdy nie umieszczaj sekretów ani wrażliwych danych bezpośrednio w treści JWT; podpis służy do potwierdzania, że dane nie zostały zmanipulowane, a nie do ukrywania zawartości.

Czy mój token jest gdzieś wysyłany?

Nie — dekodowanie odbywa się w całości w Twojej przeglądarce, w zwykłym języku JavaScript. Nic nie jest przesyłane.

Convertburda — uniwersalne konwersje
advertisement