Narzędzia JWT — Dekoduj, Weryfikuj i Podpisuj

Czym jest Narzędzia JWT — Dekoduj, Weryfikuj i Podpisuj?

Narzędzia JWT to bezpłatne, kompleksowe narzędzie do JSON Web Token, które łączy w jednym miejscu dekoder, weryfikator podpisu i podpisywanie HS. W trybie Dekoduj dekoduje w base64url token header.payload.signature i wyświetla nagłówek oraz ładunek jako sformatowany JSON. W trybie Weryfikuj odczytuje pole alg z nagłówka tokenu i sprawdza podpis za pomocą Web Crypto API: współdzielony sekret HMAC dla HS256, HS384 i HS512 lub klucz publiczny w formacie PEM dla RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) oraz ES256/ES384/ES512 (ECDSA). W trybie Podpisuj buduje i podpisuje za pomocą HMAC zupełnie nowy token na podstawie nagłówka JSON, ładunku JSON, wybranego algorytmu HS i sekretu. Jest przeznaczone dla inżynierów backendu i frontendu, testerów QA oraz integratorów API, którzy debugują uwierzytelnianie, sesje OAuth/OIDC i wygaśnięcie tokenów bez wklejania sekretów do zdalnej usługi.

Jak używać Narzędzia JWT — Dekoduj, Weryfikuj i Podpisuj

1. Wybierz tryb u góry: Dekoduj, Weryfikuj lub Podpisuj.
2. Dekoduj: wklej token JWT (header.payload.signature) do pola tokenu i odczytaj sformatowany Nagłówek oraz Ładunek poniżej — tutaj nie jest sprawdzany podpis.
3. Weryfikuj: wklej token, a następnie wklej sekret HMAC (dla algorytmów HS) lub klucz publiczny PEM (dla RS/ES) do pola klucza; narzędzie odczytuje alg z nagłówka i pokazuje zielony wynik 'prawidłowy' lub czerwony 'nieprawidłowy'.
4. Podpisuj: wprowadź nagłówek JSON i ładunek JSON, wybierz HS256, HS384 lub HS512, wpisz swój sekret i skopiuj świeżo podpisany token, który się pojawi.
5. Użyj przycisku Kopiuj przy dowolnym wyniku lub Wyczyść, aby zresetować dane wejściowe dekodowania.

Przykłady

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

valid (HS256)

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Najczęściej zadawane pytania

Czy moje tokeny, sekrety i klucze są gdziekolwiek przesyłane?

Nie. Każdy tryb działa w całości po stronie klienta w Twojej przeglądarce, korzystając z wbudowanego Web Crypto API (crypto.subtle) do HMAC i weryfikacji podpisu oraz base64url i JSON w JavaScript. Nic — ani token, ani sekret, ani klucz PEM — nigdy nie jest wysyłane na żaden serwer, dzięki czemu praca z danymi uwierzytelniającymi produkcji jest bezpieczna.

Jakie algorytmy może weryfikować?

Weryfikacja obsługuje HS256, HS384 i HS512 ze współdzielonym sekretem HMAC oraz RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) i ES256/ES384/ES512 (ECDSA) z kluczem publicznym w formacie PEM. Automatycznie odczytuje pole alg z nagłówka tokenu, więc wystarczy, że podasz pasujący sekret lub klucz publiczny.

Jakimi algorytmami może podpisywać?

Tryb Podpisuj tworzy wyłącznie tokeny podpisane HMAC — HS256, HS384 lub HS512 — na podstawie Twojego nagłówka JSON, ładunku JSON i sekretu. Podpisywanie RSA i ECDSA wymaga klucza prywatnego i jest poza zakresem tutaj; dla RS/ES nadal możesz weryfikować za pomocą pasującego klucza publicznego w trybie Weryfikuj.

Czy tryb Dekoduj sprawdza podpis?

Nie. Dekoduj jedynie dekoduje w base64url i wyświetla sformatowany nagłówek oraz ładunek — nigdy nie weryfikuje podpisu. Przełącz się na tryb Weryfikuj i podaj sekret lub klucz publiczny, aby potwierdzić autentyczność tokenu, i nigdy nie ufaj zdekodowanemu ładunkowi, dopóki jego podpis nie zostanie zweryfikowany.

Dlaczego weryfikacja zgłasza nieprawidłowy lub błąd?

'Nieprawidłowy' oznacza, że podpis nie pasuje do podanego sekretu lub klucza. 'Błąd' oznacza natomiast, że danych wejściowych nie udało się przetworzyć — na przykład tokenowi brakuje segmentu podpisu, alg jest nieobsługiwany lub nie udało się przeanalizować klucza publicznego PEM. Sprawdź, czy wkleiłeś pełny token i prawidłowy klucz dla jego algorytmu.