Dekoder JWT
Dekoduj tokeny JWT online, analizuj nagłówki i ładunki. Sprawdź podpisy i uzyskaj szczegółowe informacje o tokenach.
Wklej dowolny JSON Web Token poniżej, aby go zdekodować. Twój token jest przetwarzany tylko w Twojej sesji — nie logujemy go ani nie przechowujemy.
Użyj tego narzędzia z poziomu swojego agenta AI
Bezpłatne API JSON i serwer Model Context Protocol (MCP). Bez rejestracji, bez klucza API, CORS otwarty. Stworzone dla Claude, ChatGPT, Cursor, skryptów i aplikacji frontendowych.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Dodaj do claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) lub dowolnego innego klienta zgodnego z MCP:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Jak używać
- Wklej swój token JWT w polu wprowadzania powyżej.
- Kliknij Dekoduj, aby zobaczyć nagłówek, ładunek i podpis.
- W celu weryfikacji podpisu podaj sekret (HS256/384/512) lub klucz publiczny (RS256/384/512).
- Sprawdź status wygaśnięcia, aby zobaczyć, czy token jest nadal aktywny.
Kluczowe funkcje
- Dekoduje nagłówek i ładunek JWT jednym kliknięciem
- Weryfikuje podpisy HS256, HS384, HS512 za pomocą sekretu
- Weryfikuje podpisy RS256, RS384, RS512 za pomocą klucza publicznego
- Wyświetla znaczniki czasu wygaśnięcia, początku ważności i wystawienia w czytelnej formie
- Token nigdy nie jest logowany ani przechowywany na naszych serwerach
Częste zastosowania
- Debugowanie przepływów uwierzytelniania w aplikacji
- Sprawdzanie tokenów zwracanych przez dostawcę OAuth lub OpenID Connect
- Sprawdzanie, kiedy wygasa token dostępu
- Weryfikacja, czy token został podpisany przez oczekiwanego wystawcę
Często zadawane pytania
JWT to zwarty, bezpieczny dla URL sposób reprezentowania roszczeń pomiędzy dwiema stronami. Składa się z trzech części — nagłówka, ładunku i podpisu — oddzielonych kropkami. JWT są szeroko stosowane w uwierzytelnianiu i autoryzacji (OAuth 2.0, OpenID Connect, single sign-on).
Tak — token jest wysyłany na nasz serwer tylko po to, aby PHP mógł go zdekodować i (opcjonalnie) zweryfikować podpis. Token nigdy nie jest logowany, nigdy nie jest przechowywany i nigdy nie jest zapisywany na dysku. Istnieje tylko w pamięci podczas trwania żądania.
Weryfikujemy HS256, HS384, HS512 (HMAC z SHA-2), gdy podasz wspólny sekret, oraz RS256, RS384, RS512 (RSA z SHA-2), gdy podasz klucz publiczny wystawcy w formacie PEM. Inne algorytmy (ES256, EdDSA itp.) są dekodowane, ale nie weryfikowane.
Roszczenie exp (wygaśnięcie) to znacznik czasu Unix, po którym token nie może być już akceptowany. Wygasły JWT powinien zostać odrzucony przez serwer, nawet jeśli podpis jest prawidłowy. Użyj tokena odświeżania, aby uzyskać nowy token dostępu.
Nie. Dekodowanie JWT odczytuje tylko jego zawartość — nie udowadnia, że token jest autentyczny. Zawsze musisz zweryfikować podpis za pomocą sekretu lub klucza publicznego wystawcy, zanim zaufasz jakiemukolwiek roszczeniu w jego wnętrzu.
