JWT to trzy segmenty base64url (nagłówek, payload, podpis). Dekoder pokazuje JSON pierwszych dwóch — bez weryfikacji podpisu po stronie serwera.
Dekoder JWT
JSON Web Token niesie claims, za które odpowiada serwer. Dekodowanie pokazuje, co w nich jest — nie czy są ważne.
Dekoder JWT
Sprawdź nagłówek i payload JSON Web Token w przeglądarce.
JWT
Nagłówek
{
"alg": "HS256",
"typ": "JWT"
}Payload
{
"sub": "user_887",
"name": "Maciej Z.",
"iat": 1715237400,
"exp": 1715241000
}Wystawiony
2024-05-09 06:50:00 UTC
Wygasł
2024-05-09 07:50:00 UTC
To narzędzie nie weryfikuje podpisu ani ważności względem serwera. Traktuj odczytane claims jako niezaufane, dopóki backend nie zweryfikuje tokenu.
Typowe zastosowania
Debug 401
Wklej token z logu i przeczytaj claims wystawcy.
Wygaśnięcie
iat, exp, nbf w UTC i porównanie z teraz.
Własne claims
Role, ID, plany — poza standardowym zestawem.
Jak korzystać z narzędzia
- 1 Wklej pełny token.
- 2 Przeczytaj nagłówek (alg, typ).
- 3 Przeczytaj payload.
- 4 Sprawdź pasek statystyk.
Najczęstsze pytania
Weryfikacja podpisu?
Nie w przeglądarce — tylko na serwerze z właściwym kluczem.
Produkcyjne JWT?
Nie wysyłamy ich na serwer; uważaj na schowek — często są PII.
JWT vs cookie sesyjne?
Cookie to referencja w bazie; JWT samodzielny — inna semantyka unieważniania.