Un JWT arată ca un șir aleatoriu, dar conține date lizibile. Header-ul și payload-ul sunt doar codate base64, nu criptate – deci se pot citi. Acest decodor le face vizibile și verifică expirarea, direct în browserul tău, fără ca tokenul să ajungă pe vreun server.
Ce este un JWT
JSON Web Token (JWT) este un format de token compact, folosit pe scară largă pentru autentificare și autorizare. Este format din trei părți separate prin punct:
| Parte | Conținut |
|---|---|
| Header | Algoritmul semnăturii și tipul tokenului |
| Payload | Claim-urile: cine e utilizatorul, până când e valid, ce drepturi are |
| Signature | Semnătura primelor două părți, cu o cheie secretă |
Ce face decodorul
Lipești tokenul, iar instrumentul decodează header și payload și le afișează ca JSON formatat. În plus, evidențiază claim-urile de timp:
- exp (expirare) – până când e valid; semnalează dacă a expirat.
- iat (emis) – când a fost creat.
- nbf (valid de la) – de când devine valid.
Toate sunt afișate ca dată citibilă, cu status.
Avertisment important: decodare ≠ autentificare
Acesta e cel mai important lucru de înțeles despre JWT: payload-ul nu e criptat, ci doar codat base64. Oricine obține tokenul îi poate citi conținutul – exact cum face acest instrument. De aceea:
- Nu pune niciodată date sensibile (parolă, secret) în payload.
- Decodarea nu dovedește autenticitatea – doar semnătura o face, iar verificarea semnăturii necesită cheia secretă și se face pe server.
Acest instrument face conținutul lizibil, dar nu verifică semnătura (nu are cheia). Este un instrument de depanare, nu de securitate.
Cum se folosește
- Lipește tokenul JWT (cele trei părți separate prin punct).
- Citește header și payload decodate, ca JSON.
- Verifică expirarea (exp) – instrumentul semnalează dacă a expirat.
- Copiază conținutul header sau payload, dacă e nevoie.
Cazuri de utilizare
- Autentificare – verificarea conținutului unui token de login.
- Depanare – de ce respinge serverul tokenul? A expirat?
- Autorizare – verificarea claim-urilor de rol/scope din payload.
- Expirare – citirea rapidă a valabilității în formă lizibilă.
Confidențialitate: totul rămâne local
Decodarea rulează în browserul tău, prin JavaScript. Tokenul lipit nu ajunge pe niciun server – deși, în general, un token trebuie tratat cu grijă oriunde.
Instrumente înrudite
- Codare/decodare Base64 — codificarea de bază a JWT
- Vizualizator JSON — arbore restrângibil pentru payload
- Convertor timestamp Unix — data din claim-ul exp
- Generator UUID — identificatori unici v4