Dekoder JWT
Wklej token JSON Web Token, aby zobaczyć, co się w nim tak naprawdę znajduje — nagłówek i treść, zdekodowane i sformatowane.
Co dekodowanie JWT mówi, a czego nie mówi
Nagłówek i treść tokenu JWT to po prostu JSON zakodowany w Base64URL — każdy może je zdekodować i odczytać, bez potrzeby znajomości żadnego sekretu, i to właśnie robi to narzędzie. Nie potrafi natomiast zweryfikować podpisu: wymaga to sekretu lub klucza publicznego wystawcy tokenu, których celowo nie wkleja się na przypadkową stronę internetową.
Czy to narzędzie sprawdza, czy token jest ważny i nie wygasł?
Nie — dekoduje jedynie czytelne części. Weryfikacja podpisu i sprawdzanie wygaśnięcia („exp”) odbywa się na serwerze, który wystawił token, przy użyciu sekretu, którego to narzędzie nigdy nie widzi.
Czy JWT ma być czytelny w ten sposób?
Tak — nagłówek i treść są tylko zakodowane, a nie zaszyfrowane. Nigdy nie umieszczaj sekretów ani wrażliwych danych bezpośrednio w treści JWT; podpis służy do potwierdzania, że dane nie zostały zmanipulowane, a nie do ukrywania zawartości.
Czy mój token jest gdzieś wysyłany?
Nie — dekodowanie odbywa się w całości w Twojej przeglądarce, w zwykłym języku JavaScript. Nic nie jest przesyłane.
