Decodor JWT

Decodează un token JWT: header și payload ca JSON lizibil, cu verificarea expirării (exp). Nu verifică semnătura. În browser, privat.

Fără server Instant Privat Gratuit

Despre ce este acest instrument?

Decodorul JWT face lizibil conținutul unui JSON Web Token: decodează base64url partea header și payload și le afișează ca JSON formatat, evidențiind expirarea (exp), momentul emiterii (iat) și începutul valabilității (nbf) – ca dată citibilă, cu status. Important: instrumentul NU verifică semnătura (pentru asta ar fi nevoie de cheia secretă) – doar decodează, ceea ce face conținutul tokenului vizibil pentru oricine. Totul rulează în browserul tău, tokenul nu ajunge pe server.

Cum să folosești Decodor JWT?

  1. Lipirea tokenului

    Lipește JWT-ul complet (header.payload.signature).

  2. Conținut

    Citește header și payload decodate ca JSON.

  3. Expirare

    Verifică claim-urile exp/iat/nbf ca dată citibilă.

  4. Copiere

    Copiază conținutul header sau payload.

Când ai nevoie de el?

  • Autentificare

    Verificarea conținutului unui token de autentificare la dezvoltare.

  • Depanare

    De ce respinge serverul tokenul? A expirat, sau payload-ul e greșit?

  • Autorizare

    Verificarea rapidă a claim-urilor de autorizare (role, scope) din payload.

  • Expirare

    Citirea rapidă a valabilității unui token, în formă lizibilă.

Cele trei părți ale JWT

Parte Conținut
Header Algoritm și tip de token
Payload Claim-uri: sub, exp, iat, role…
Signature Semnătură (verificabilă cu cheia secretă)

Cum e construit un JWT?

JSON Web Token este format din trei părți separate prin punct. Prima e header-ul, care descrie algoritmul semnăturii. A doua e payload-ul, care conține datele efective (claim-urile): cine e utilizatorul, până când e valid tokenul, ce drepturi are. A treia e signature, semnătura primelor două părți cu o cheie secretă – aceasta garantează că tokenul nu a fost falsificat.

Este important de înțeles: header-ul și payload-ul sunt doar codate base64url, NU criptate. Asta înseamnă că oricine are acces la token îi poate citi conținutul – de aceea nu pune niciodată date sensibile (parolă, secret) în payload. Semnătura nu ascunde conținutul, ci împiedică falsificarea. Acest instrument face lizibil conținutul codat, dar nu examinează validitatea semnăturii.

Sfaturi utile

  • Payload-ul nu e secret – nu pune niciodată parolă sau date sensibile în el.

  • Dacă serverul dă 401, verifică întâi expirarea (exp) aici.

  • Decodarea nu e autentificare – verificarea semnăturii să se facă mereu pe server.

  • Tokenul e în siguranță aici (decodare locală), dar în general tratează-l cu grijă.

Decodor JWT – citește conținutul unui JSON Web Token

Un JWT arată ca un șir aleatoriu, dar conține date lizibile. Header-ul și payload-ul sunt doar codate base64, nu criptate – deci se pot citi. Acest decodor le face vizibile și verifică expirarea, direct în browserul tău, fără ca tokenul să ajungă pe vreun server.

Ce este un JWT

JSON Web Token (JWT) este un format de token compact, folosit pe scară largă pentru autentificare și autorizare. Este format din trei părți separate prin punct:

ParteConținut
HeaderAlgoritmul semnăturii și tipul tokenului
PayloadClaim-urile: cine e utilizatorul, până când e valid, ce drepturi are
SignatureSemnătura primelor două părți, cu o cheie secretă

Ce face decodorul

Lipești tokenul, iar instrumentul decodează header și payload și le afișează ca JSON formatat. În plus, evidențiază claim-urile de timp:

  • exp (expirare) – până când e valid; semnalează dacă a expirat.
  • iat (emis) – când a fost creat.
  • nbf (valid de la) – de când devine valid.

Toate sunt afișate ca dată citibilă, cu status.

Avertisment important: decodare ≠ autentificare

Acesta e cel mai important lucru de înțeles despre JWT: payload-ul nu e criptat, ci doar codat base64. Oricine obține tokenul îi poate citi conținutul – exact cum face acest instrument. De aceea:

  • Nu pune niciodată date sensibile (parolă, secret) în payload.
  • Decodarea nu dovedește autenticitatea – doar semnătura o face, iar verificarea semnăturii necesită cheia secretă și se face pe server.

Acest instrument face conținutul lizibil, dar nu verifică semnătura (nu are cheia). Este un instrument de depanare, nu de securitate.

Cum se folosește

  1. Lipește tokenul JWT (cele trei părți separate prin punct).
  2. Citește header și payload decodate, ca JSON.
  3. Verifică expirarea (exp) – instrumentul semnalează dacă a expirat.
  4. Copiază conținutul header sau payload, dacă e nevoie.

Cazuri de utilizare

  • Autentificare – verificarea conținutului unui token de login.
  • Depanare – de ce respinge serverul tokenul? A expirat?
  • Autorizare – verificarea claim-urilor de rol/scope din payload.
  • Expirare – citirea rapidă a valabilității în formă lizibilă.

Confidențialitate: totul rămâne local

Decodarea rulează în browserul tău, prin JavaScript. Tokenul lipit nu ajunge pe niciun server – deși, în general, un token trebuie tratat cu grijă oriunde.

Instrumente înrudite

Întrebări frecvente