فك تشفير JWT
رائج 🔥فك تشفير وفحص رموز JWT
كيفية استخدام فك تشفير JWT
- 1الصق رمز JWT في حقل الإدخال
- 2يُحلَّل الرمز فورًا تلقائيًا
- 3راجع الرأس والحمولة والتوقيع
حول فك تشفير JWT
فاكّ JWT هو أداة تحليل آمنة تُفكّك رموز JSON Web Token وتعرض محتواها بتنسيق مقروء. يُظهر رأس التوقيع والحمولة المُشفَّرة وتاريخ الانتهاء دون الحاجة إلى السر الخاص. مفيد جدًا لمطوري APIs ومهندسي أمن التطبيقات.
المميزات الرئيسية لـ فك تشفير JWT
- فكّ تشفير فوري بدون خادم
- عرض الرأس والحمولة بتنسيق JSON
- التحقق من انتهاء الصلاحية
- دعم خوارزميات RS256 وHS256 وغيرها
- لا يُرسَل الرمز إلى أي خادم
- Works entirely in-browser — your token is never transmitted
- Supports all standard JWT structures including nested JWTs
- One-click copy for the full decoded payload
أمثلة
رمز JWT نموذجي
فكّ تشفير رمز JWT بسيط
المدخلات
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkFobWVkIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
النتيجة
{
"alg": "HS256",
"typ": "JWT"
}Check if a session token has expired
Determine if a JWT from a user session is still valid by inspecting its exp claim.
المدخلات
A JWT with an exp claim set to a past date
النتيجة
Token expired on 2025-01-01 00:00:00 UTC — highlighted in red
حالات الاستخدام الشائعة
- تصحيح أخطاء المصادقة
- فحص صلاحيات المستخدم
- التحقق من انتهاء الجلسات
- اختبار APIs المحمية
- تعلم JWT
- Quickly checking whether a token in a browser DevTools cookie or header has expired
استكشاف الأخطاء
رمز غير صالح
الحل
تأكد من نسخ الرمز كاملاً بما في ذلك نقاط الفصل الثلاث
الرمز منتهي الصلاحية
الحل
الرمز ليس خاطئًا بل منتهي الصلاحية — احصل على رمز جديد
Cannot tell if the token is valid (authentic)
الحل
Decoding shows the claims but does not verify the signature. Signature verification requires the signing key. Use your application's JWT library to verify the signature server-side.
الأسئلة الشائعة
هل من الآمن لصق JWT هنا؟
التحليل يتم محليًا في المتصفح فقط، لا يُرسَل الرمز إلى أي خادم.
هل يمكنني التحقق من التوقيع؟
لا، التحقق من التوقيع يتطلب السر الخاص ولا يتم هنا لأسباب أمنية.
What is a JWT?
A JSON Web Token (JWT) is a compact, URL-safe token format that encodes a set of claims as a JSON object. It consists of three Base64URL-encoded parts: a header (algorithm), a payload (claims), and a signature.
What claims should I look for in a JWT?
Key standard claims include: sub (subject/user ID), iss (issuer), aud (audience), exp (expiration time), iat (issued at), and nbf (not before). Custom claims specific to your application may also be present.
How can I tell if a JWT has expired?
The exp claim contains a Unix timestamp representing when the token expires. This tool converts it to a human-readable date and highlights expired tokens. Compare the expiry to the current time.
What is the difference between HS256 and RS256?
HS256 (HMAC SHA-256) uses a shared secret key for both signing and verification — suitable for internal services. RS256 (RSA SHA-256) uses a private key for signing and a public key for verification — suitable for distributed systems where the verifier cannot hold the signing key.
Can I decode a JWT without a library?
Yes. A JWT is just three Base64URL-encoded JSON strings separated by dots. You can decode any section manually using atob() after replacing URL-safe characters. This tool automates exactly that process.
Should I paste production tokens into online tools?
This tool processes tokens locally in your browser, so they are not transmitted anywhere. However, for sensitive production tokens in high-security environments, consider using a locally-run version or your application's built-in debugging capabilities.