Czy mój token wychodzi gdziekolwiek?

**Nie**. Cały decoding **w przeglądarce**: dekodujemy base64url i parsujemy JSON. Możesz to **zweryfikować w DevTools → Network**: żaden upload. **To kluczowa różnica względem jwt.io**, które wysyła token przez sieć.

Co znaczy "exp" / "iat" / "nbf"?

Trzy claimy czasowe: - **exp** (expiration): timestamp Unix kiedy token **wygasa** - **iat** (issued at): kiedy został **wystawiony** - **nbf** (not before): kiedy **najwcześniej staje się ważny** Decoder pokazuje je jako **daty w lokalnym formacie**.

Token wygaśnięty, ale dalej działa, bug?

Twoje API może mieć **clock skew tolerance** (zwykle 30-60s) albo **cache'ować weryfikację**. Jeśli **exp jest >5 min w przeszłości** i token dalej działa, to **faktyczny bug w API**.

Co znaczy alg = "none"?

JWT z algorytmem **"none"** **nie ma sygnatury**, ktokolwiek może go zmodyfikować. Stary atak nazwany **"alg=none vulnerability"**. Jeśli widzisz to w **produkcji**, masz potencjalnie **poważny problem bezpieczeństwa**.

Czy JWE jest obsługiwany?

**Częściowo**. **JWE** (JSON Web Encryption, payload zaszyfrowany) ma **5 sekcji** oddzielonych kropkami zamiast 3. Decoder wyrzuci błąd "shape", bo widzi 5 części. **Większość JWT w użyciu to JWS** (signed) z 3 sekcjami, JWE jest niszowy.

Czemu JSON jest w UTF-8?

**JWT spec pozwala na UTF-8** w claims (np. polskie nazwiska w "name"). Decoder dekoduje **base64 → bytes → UTF-8 string → parse JSON**. Bez UTF-8 polskie znaki byłyby pomieszane (artefakty Latin-1).

Jak długi może być JWT?

**Bez technicznego limitu**, ale w praktyce: **HTTP cookie ~4 KB, header Authorization ~8 KB**. **Tokeny powyżej 2 KB = red flag**, prawdopodobnie ktoś włożył za dużo claims. Decoder obsłuży tokeny dowolnej długości.

Dekoder JWT - darmowy | YourDevTools

Dekoder JWT

Wklej token JSON Web Token, zobacz nagłówek, payload i sygnaturę. Dekoder działa lokalnie, token nigdzie nie wychodzi.

Token JWT

Token nie wychodzi z przeglądarki.

Co jest w środku tego tokena JWT? Jak go zdekodować?

Wklejasz token JWT, tool pokazuje nagłówek, payload i sygnaturę. Wszystko w Twojej przeglądarce, token nigdy nie wychodzi z urządzenia.

To istotne, bo na konkurencyjnym jwt.io token jest wysyłany przez sieć. Wklejanie produkcyjnego tokena tam = zaproszenie do problemów. Tutaj wszystko lokalnie.

Idealne do debugowania autoryzacji: access tokeny, refresh tokeny, ID tokeny z Auth0, Cognito, Firebase, Keycloak.

Jak korzystać

Skopiuj token JWT (zaczyna się od "eyJ..." i ma 3 sekcje oddzielone kropkami).

Wklej do pola tekstowego, rozparsuje się automatycznie (bez klikania).

Po prawej zobaczysz nagłówek (algorytm + typ), po lewej payload (claims: sub, iss, exp, custom claims), pod spodem sygnaturę.

Pille na górze pokazują: algorytm (HS256/RS256/...), typ (JWT/JWE), datę wystawienia (iat), wygaśnięcia (exp). Token wygaśnięty = exp pill na czerwono.

Do czego się przydaje

Siedem typowych sytuacji, w których dekoder JWT pomaga ogarnąć, co naprawdę siedzi w tokenie:

Debugowanie autoryzacji. Dostajesz token z backendu, chcesz zobaczyć claims (rola, organization, scopes).
Auth0 / Cognito / Firebase / Keycloak. Rozkodowanie ID tokena pokazuje wszystkie atrybuty użytkownika.
Sprawdzanie wygaśnięcia. Czy refresh token jest jeszcze ważny? Pill exp da odpowiedź.
Code review. Kolega wkleił token w czacie, chcesz sprawdzić co jest w środku zanim zgłosisz incydent.
Edukacja. Zobacz jak działa JWT dla osób uczących się autoryzacji.
OAuth 2.0 / OpenID Connect. Parsowanie access tokenów Bearer.
Audyt. Token ma za długi exp? Niewłaściwe scopes? Sygnatura SHA-1?

Pytania i odpowiedzi

Nie. Do weryfikacji HS256 potrzebny tajny klucz, do RS256: klucz publiczny. Decoder pokazuje tylko strukturę. Jeśli chcesz podpisać lub zweryfikować token w przeglądarce, użyj naszego narzędzia do podpisywania i weryfikacji JWT. Jeśli potrzebujesz pary kluczy RSA / EC do podpisu, wygeneruj ją w generatorze kluczy JWT.

Co jest w środku tego tokena JWT? Jak go zdekodować?

Wklejasz token JWT, tool pokazuje nagłówek, payload i sygnaturę. Wszystko w Twojej przeglądarce, token nigdy nie wychodzi z urządzenia.

To istotne, bo na konkurencyjnym jwt.io token jest wysyłany przez sieć. Wklejanie produkcyjnego tokena tam = zaproszenie do problemów. Tutaj wszystko lokalnie.

Idealne do debugowania autoryzacji: access tokeny, refresh tokeny, ID tokeny z Auth0, Cognito, Firebase, Keycloak.

Jak korzystać

Skopiuj token JWT (zaczyna się od "eyJ..." i ma 3 sekcje oddzielone kropkami).

Wklej do pola tekstowego, rozparsuje się automatycznie (bez klikania).

Po prawej zobaczysz nagłówek (algorytm + typ), po lewej payload (claims: sub, iss, exp, custom claims), pod spodem sygnaturę.

Pille na górze pokazują: algorytm (HS256/RS256/...), typ (JWT/JWE), datę wystawienia (iat), wygaśnięcia (exp). Token wygaśnięty = exp pill na czerwono.

Do czego się przydaje

Siedem typowych sytuacji, w których dekoder JWT pomaga ogarnąć, co naprawdę siedzi w tokenie:

Debugowanie autoryzacji. Dostajesz token z backendu, chcesz zobaczyć claims (rola, organization, scopes).
Auth0 / Cognito / Firebase / Keycloak. Rozkodowanie ID tokena pokazuje wszystkie atrybuty użytkownika.
Sprawdzanie wygaśnięcia. Czy refresh token jest jeszcze ważny? Pill exp da odpowiedź.
Code review. Kolega wkleił token w czacie, chcesz sprawdzić co jest w środku zanim zgłosisz incydent.
Edukacja. Zobacz jak działa JWT dla osób uczących się autoryzacji.
OAuth 2.0 / OpenID Connect. Parsowanie access tokenów Bearer.
Audyt. Token ma za długi exp? Niewłaściwe scopes? Sygnatura SHA-1?

Pytania i odpowiedzi

Dekoder JWT

Co jest w środku tego tokena JWT? Jak go zdekodować?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Generator UUID

Hashe hasła: MD5, SHA, bcrypt

Generator sekretu TOTP 2FA

Dekoder JWT

Co jest w środku tego tokena JWT? Jak go zdekodować?

Jak korzystać

Do czego się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

Generator UUID

Hashe hasła: MD5, SHA, bcrypt

Generator sekretu TOTP 2FA