Czy Toova weryfikuje podpis JWT?

Nie. Weryfikacja wymaga klucza podpisującego, który posiada tylko wystawca. Toova dekoduje nagłówek i ładunek, abyś mógł sprawdzić claimy, ale zaufanie tokenowi nadal wymaga weryfikacji po stronie serwera z sekretem lub kluczem publicznym.

Czy mój token jest wysyłany gdziekolwiek?

Nie. Dekoder działa całkowicie w przeglądarce. Token nigdy nie opuszcza urządzenia, a podczas dekodowania jest zero żądań wychodzących. Otwórz DevTools i sprawdź samodzielnie.

Czy mogę zdekodować wygasły token?

Tak. Dekoder działa niezależnie od wygaśnięcia. Oznacza token jako wygasły i pokazuje, kiedy claim exp upłynął, co pomaga przy debugowaniu, dlaczego żądanie zostało odrzucone.

Co mówi mi pole alg?

Identyfikuje algorytm podpisu — HS256 dla HMAC-SHA256, RS256 dla RSA, ES256 dla ECDSA i tak dalej. Jeśli alg to "none", token jest niepodpisany, co prawie zawsze jest błędem bezpieczeństwa.

Dlaczego znaczniki czasu są liczbami?

Claimy JWT używają sekund epoki Unix. Toova tłumaczy iat, nbf i exp na twoją lokalną strefę czasową, abyś mógł je odczytać, jednocześnie zachowując surową wartość dla referencji.

Dekoder JWT — dekoduj i analizuj tokeny JSON Web Token

Dekoduj JWT (JSON Web Token) i sprawdź jego nagłówek oraz ładunek bez wysyłania tokena gdziekolwiek. Toova pokazuje algorytm, claimy, znaczniki czasu wystawienia i wygaśnięcia w formie czytelnej dla człowieka i oznacza tokeny, które już wygasły — wszystko lokalnie, w przeglądarce.

Dlaczego dekodować JWT lokalnie

Każdy inny dekoder JWT prosi o wklejenie tokena do zdalnego formularza. Problem jest oczywisty — jeśli token jest ważny, ktokolwiek prowadzi ten serwer może podszyć się pod ciebie. Toova dekoduje token całkowicie w przeglądarce, bez przesyłania i bez logowania. Można wkleić produkcyjny access token, sprawdzić claimy i zweryfikować jego strukturę bez wycieku do strony trzeciej.

Co widać w zdekodowanym wyniku

Toova dzieli token na nagłówek, ładunek i podpis. Nagłówek pokazuje algorytm i identyfikator klucza. Ładunek jest ładnie wydrukowanym JSON z każdym standardowym claimem (iss, sub, aud, exp, nbf, iat, jti) przekonwertowanym na formę czytelną. Znaczniki czasu są tłumaczone na twoją lokalną strefę czasową, a narzędzie oznacza, czy token jest obecnie ważny, wygasły czy jeszcze nieaktywny.

Tylko dekodowanie, nigdy zaufanie

Dekodowanie JWT to nie to samo co jego weryfikacja. Dekoder pokazuje, co token o sobie deklaruje, ale nie sprawdza podpisu — to wymaga klucza podpisującego, który żyje na serwerze wystawiającym token. Używaj Toova do debugowania struktury claimów, wygaśnięcia i wartości audience; używaj swojej biblioteki autoryzacyjnej do weryfikacji zaufania przed udzieleniem dostępu.

Najczęściej zadawane pytania

Czy Toova weryfikuje podpis JWT?: Nie. Weryfikacja wymaga klucza podpisującego, który posiada tylko wystawca. Toova dekoduje nagłówek i ładunek, abyś mógł sprawdzić claimy, ale zaufanie tokenowi nadal wymaga weryfikacji po stronie serwera z sekretem lub kluczem publicznym.
Czy mój token jest wysyłany gdziekolwiek?: Nie. Dekoder działa całkowicie w przeglądarce. Token nigdy nie opuszcza urządzenia, a podczas dekodowania jest zero żądań wychodzących. Otwórz DevTools i sprawdź samodzielnie.
Czy mogę zdekodować wygasły token?: Tak. Dekoder działa niezależnie od wygaśnięcia. Oznacza token jako wygasły i pokazuje, kiedy claim exp upłynął, co pomaga przy debugowaniu, dlaczego żądanie zostało odrzucone.
Co mówi mi pole alg?: Identyfikuje algorytm podpisu — HS256 dla HMAC-SHA256, RS256 dla RSA, ES256 dla ECDSA i tak dalej. Jeśli alg to "none", token jest niepodpisany, co prawie zawsze jest błędem bezpieczeństwa.
Dlaczego znaczniki czasu są liczbami?: Claimy JWT używają sekund epoki Unix. Toova tłumaczy iat, nbf i exp na twoją lokalną strefę czasową, abyś mógł je odczytać, jednocześnie zachowując surową wartość dla referencji.

Dekoder i inspektor JWT

Dlaczego dekodować JWT lokalnie

Co widać w zdekodowanym wyniku

Tylko dekodowanie, nigdy zaufanie

Najczęściej zadawane pytania