Preskoči na sadržaj
1001 Tools
en

Nalepite JSON Web Token i odmah pročitajte šta je unutra: zaglavlje, sadržaj i standardne vremenske tvrdnje prikazane kao datumi, uz status isteka na prvi pogled. Dekodiranje se u potpunosti dešava u vašem pregledaču — token, koji često daje pristup nalogu, nikada ne napušta uređaj.

Samo dekodiranje — potpis se ne proverava. Sadržaj JWT-a nije šifrovan, pa ga smatrajte čitljivim; autentičnost proveravajte na serveru ključem za potpisivanje.

Podeli FacebookXLinkedInWhatsAppViber

Kako radi

JWT su tri base64url kodirana dela spojena tačkama: zaglavlje, sadržaj i potpis. Alat deli po tačkama, base64url-dekodira prva dva dela i parsira ih kao JSON, pa čita standardne vremenske tvrdnje — iat (izdato), exp (ističe) i nbf (ne pre) — i prikazuje ih kao lokalne datume.

Ne proverava potpis. Provera da je token autentičan zahteva serverovu tajnu ili javni ključ, koji nikada ne treba lepiti u veb stranicu — pa ovaj alat samo čita tvrdnje. Dekodiran token govori šta piše, ne i da li je originalan ili neizmenjen.

Primeri iz prakse

Provera zašto je prijava „istekla“

Nalepite pristupni token iz aplikacije i pročitajte exp datum. Ako je u prošlosti, oznaka pokazuje Isteklo — objašnjava 401 grešku bez preturanja po kodu.

Pregled tvrdnji tokena

Vidite tačno koje opsege, uloge ili ID korisnika token nosi u sadržaju, formatirano kao čitljiv JSON — zgodno kada API vrati „zabranjeno“ a sumnjate na nedostajuću tvrdnju.

Potvrda algoritma potpisivanja

Zaglavlje prikazuje polje alg, npr. HS256 ili RS256. Dekodirajte token da proverite da ga servis izdaje algoritmom koji očekujete, a ne „none“.

Česta pitanja

Da li ovo proverava potpis tokena?

Ne. Samo dekodira i prikazuje zaglavlje i sadržaj. Provera potpisa dokazuje da je token autentičan i neizmenjen, ali za to treba tajna ili javni ključ — koji nikada ne treba lepiti u veb sajt. Proveravajte na svom serveru.

Da li se moj token šalje na server?

Ne. Dekodiranje se u potpunosti izvršava u vašem pregledaču. Pošto tokeni često daju pristup nalozima ili API-jima, to je bitno — možete se čak isključiti sa interneta pošto se strana učita i i dalje radi.

Da li je sadržaj JWT-a šifrovan?

Ne. Standardni JWT je potpisan, ne šifrovan — sadržaj je samo base64url kodiran, pa ga svako sa tokenom može pročitati. Nikada ne stavljajte tajne u JWT sadržaj i smatrajte dekodiran sadržaj javnom informacijom.

Šta znače iat, exp i nbf?

„iat“ je kada je token izdat, „exp“ kada prestaje da važi, a „nbf“ (ne pre) najranije vreme kada sme da se koristi. Sve su Unix vremenske oznake u sekundama; alat ih pretvara u čitljive datume.

Zašto piše isteklo iako ga server i dalje prihvata?

Serveri često dozvoljavaju malu toleranciju na razliku u satu, a exp se ovde poredi sa časovnikom vašeg uređaja. Ako vam je sat pogrešan, status može malo da se razlikuje od serverovog. Sama exp vrednost je merodavna.

Šta mi govori „alg“ u zaglavlju?

To je algoritam kojim je token potpisan, poput HS256 (deljena tajna) ili RS256 (javni/privatni ključ). Ako ikada piše „none“, token je nepotpisan — znak za uzbunu, jer se lako može falsifikovati.

Zašto moj token neće da se dekodira?

JWT mora imati tačno tri dela odvojena tačkama, svaki ispravan base64url, a prva dva JSON. Česti uzroci greške su kopiran deo tokena, suvišni razmaci unutar njega, ili lepljenje nečega što uopšte nije JWT.

Da li podržava ne-ASCII znakove u tvrdnjama?

Da. Sadržaj se dekodira kao UTF-8, pa se imena ili vrednosti sa dijakritikom — poput Đorđević — prikazuju ispravno, a ne kao izlomljeni bajtovi.

Mogu li da dekodiram šifrovani JWE token?

Ne. Ovaj alat čita potpisane JWT (JWS). Šifrovani tokeni (JWE) zahtevaju ključ za dešifrovanje i drugačiji postupak; bez njega nema šta čitljivo da se prikaže.

Srodni alati