Pamiętaj: Wyniki kalkulatorów mają charakter poglądowy. Dokładamy wszelich starań, by były poprawne, ale zawsze weryfikuj je z fachowcem.

Przejdź do treści

JWT decode – header/payload + walidacja struktury

Wklej JWT i zobacz zdekodowany header oraz payload (Base64URL → JSON). Narzędzie sprawdza format 3-częściowy, poprawność Base64URL, JSON i podstawowe pola (typ, alg, exp/iat/nbf).

Dekoder
Wynik liczy się automatycznie.
Token JWT
Nie wklejaj tokenów produkcyjnych z uprawnieniami admina. To narzędzie dekoduje tylko header/payload (bez weryfikacji podpisu kryptograficznego).
Opcje walidacji
Przydatne, gdy serwery mają lekko inny czas.
Powiązane: tester regex, generator CRON, YAML ↔ JSON, usuwanie duplikatów.
Wynik
Header, payload, status.
Status
Header
Payload
To walidacja struktury i czasu. Nie jest to weryfikacja podpisu JWT.
Interpretacja

Jak zdekodować JWT i sprawdzić payload?

W dekoderze JWT wklejasz token i od razu widzisz header oraz payload w formacie JSON. To przydaje się, gdy szukasz „jwt decode header payload”, „jwt exp iat nbf co to” albo „jwt sprawdź strukturę”.

Wzór / logika obliczeń

JWT ma zwykle 3 części rozdzielone kropkami: header.payload.signature. Header i payload są zakodowane w Base64URL. Ten kalkulator dekoduje obie części do JSON i sprawdza: czy token ma 3 segmenty, czy Base64URL jest poprawny, czy JSON parsuje się oraz czy podstawowe pola wyglądają sensownie.

Procedura: aby sprawdzić JWT, wystarczy wkleić token – kalkulator pokaże header/payload i listę kontroli (format, JSON, czas).

Do innych narzędzi informatycznych przyda się tester regex, generator CRON, YAML ↔ JSON i usuwanie duplikatów.

Ważne

Dekodowanie JWT nie oznacza, że token jest „prawdziwy”. Żeby to potwierdzić, trzeba zweryfikować podpis kryptograficzny (np. HS256/RS256) po stronie serwera.

Przykład obliczeń

Jeśli w payload masz "exp": 1710000000, to oznacza czas wygaśnięcia w sekundach UNIX. Kalkulator przeliczy to na datę i powie, czy token wygląda na ważny (z uwzględnieniem dopuszczalnego „skew”).

To pomaga przy pytaniach typu „jwt expired kiedy” albo „jwt nbf co oznacza”.

Tabela: najczęstsze pola JWT

PoleGdzieZnaczyTip
algheaderalgorytm podpisunp. HS256, RS256
typheadertyp tokenaczęsto JWT
isspayloadissuerkto wystawił
audpayloadaudiencedla kogo
subpayloadsubjectkogo dotyczy
iatpayloadissued atkiedy wydany
nbfpayloadnot beforeważny od
exppayloadexpiresważny do

Zadanie przykładowe i rozwiązanie

Zadanie: Masz JWT i chcesz sprawdzić, czy wygasł oraz jakie ma pola.

Rozwiązanie: Wklej token, a kalkulator pokaże header/payload i sprawdzi exp/nbf względem czasu lokalnego. Jeśli exp jest w przeszłości – token jest wygasły.

Tabela porównawcza: struktura vs podpis

Co sprawdzaszDa się offline?Co dajeOgraniczenie
Format, Base64URL, JSONtakczy token jest „czytelny”nie mówi, czy jest prawdziwy
exp/nbf/iattakczy token wygląda na ważny czasowozależy od clock skew
Weryfikacja podpisuzwykle nieczy token jest autentycznywymaga klucza/sekretu
Uprawnienia (role/scopes)częściowoco token „deklaruje”tylko po weryfikacji podpisu ma sens

Do szybkich testów danych przyda się też regex tester oraz YAML ↔ JSON.

Ciekawostka

JWT to tylko format. Część aplikacji w payload trzyma role i uprawnienia – ale bez poprawnej weryfikacji podpisu takie dane są tylko „deklaracją”, którą można podrobić.

Najczęstsze błędy i jak zwiększyć dokładność wyniku

  • Mylenie Base64 i Base64URL – JWT używa Base64URL (zwykle bez znaków =).
  • Brak trzech segmentów – token musi mieć 2 kropki.
  • Porównywanie czasu bez skew – ustaw 30–120 s, jeśli masz rozjazdy czasu.
  • Wniosek „OK = bezpieczne” – bez weryfikacji podpisu nie ufaj payload.

Wskazówka od KalkulatorXXL

Jeśli debugujesz błąd „jwt expired”, sprawdź exp, strefę czasową serwera i clock skew. Czasem wystarczy dodać 60 sekund tolerancji.

Szybka wskazówka do jwt decode – header/payload + walidacja struktury

Sprawdź jednostki i zakresy danych. Jeśli wynik wydaje się zbyt duży lub zbyt mały, zwykle chodzi o skalę (np. kWh vs Wh, zł vs gr, kg vs g). Najszybciej zweryfikujesz to na prostych liczbach (1, 10, 100).

Regeneracja bariery

Długa praca przy komputerze i częste mycie rąk potrafią przesuszać skórę – krem regenerujący pomaga.

FAQ – JWT decode: header/payload i walidacja

JWT ma 3 części rozdzielone kropkami. Header i payload są w Base64URL. Wklej token do kalkulatora, a zobaczysz JSON po dekodowaniu.

Nie. Dekodowanie pokazuje zawartość, ale nie potwierdza autentyczności. Weryfikacja podpisu wymaga klucza/sekretu i zwykle robi się ją po stronie serwera.

exp to czas wygaśnięcia (UNIX w sekundach). Kalkulator przelicza go na datę i pokazuje, czy token wygląda na ważny.

nbf (not before) oznacza, od kiedy token jest ważny. Jeśli nbf jest w przyszłości, token jeszcze nie powinien być akceptowany.

iat (issued at) to czas wystawienia tokena. Przy debugowaniu pomaga wykryć problemy z zegarem serwera.

Najczęściej token jest ucięty, ma spacje/znaki nowej linii albo nie ma dokładnie 3 segmentów. Wklej pełną wartość.

Czasem aplikacja ma tolerancję clock skew. Ustaw w kalkulatorze dopuszczalny skew (np. 60–120 s) i porównaj z ustawieniami serwera.

Nie bez weryfikacji podpisu. Payload można podrobić, jeśli nie sprawdzasz podpisu po stronie serwera.

Możliwe, że to nie JWT (JWS) tylko JWE (zaszyfrowany token) albo niestandardowy format. Wtedy dekodowanie JSON może się nie udać.

Najczęściej używane razem

Kalkulator przeliczający rozmiaru plikówPopularne
Wpisz dane i zobacz wynik natychmiast.
Kalkulator czasu pobierania plikówPopularne
Wpisz dane i zobacz wynik natychmiast.
Cron expression - generator dat uruchomień
Wygeneruj w kilka sekund.
Regex tester
Kliknij i użyj narzędzia w 10 sekund.

Ostatnia aktualizacja kalkulatora: 2026-04