أداة فك ترميز JWT - فك ترميز رموز JSON Web Tokens والتحقق من انتهاء صلاحيتها عبر الإنترنت

الصق أي رمز JSON Web Token لفك ترميز ترويسته وحمولته فورًا، وعرض التوقيع، والتحقق مما إذا كان قد انتهت صلاحيته. يعمل محليًا — لا تغادر رموزك متصفحك أبدًا.

JWT المُرمَّز

Decode and verify entirely in your browser — nothing is uploaded.

تُحذف الملفات تلقائيًا بعد المعالجةProcessed securely over HTTPS

انتهيت من فاكّ ترميز JWT؟ جرّب هذه الأدوات بعد ذلك

أدوات منتقاة بعناية تتكامل مع فاكّ تشفير JWT. واصل عملك دون فقدان ملفك.

عرض جميع الأدوات

Frequently Asked Questions

الصق رمز JWT المُرمَّز (السلسلة الطويلة eyJ…) في صندوق الإدخال. تقسمه الأداة عند النقطتين، وتفك ترميز الترويسة والحمولة بـ Base64URL، وتعرض كود JSON لكل منهما إضافةً إلى مقطع التوقيع الخام — وكل ذلك دون إجراء أي طلب شبكي.

usage

لا. يقوم أداة فك الترميز بتحليل الرمز فقط — فهو لا يتحقق من التوقيع مقابل مفتاح سري أو عام، لأن التحقق يتطلب مادة مفتاح الجهة المُصدِرة. استخدم مكتبة JWT على جانب الخادم للتحقق في بيئة الإنتاج؛ هذه الأداة مخصصة للفحص وتصحيح الأخطاء.

technical

تحصل على الترويسة (الخوارزمية ومعرّف المفتاح)، ومطالبات الحمولة (sub وiss وaud وiat وexp وأي مطالبات مخصصة)، والتوقيع الخام. وتُنسَّق مطالبات الطوابع الزمنية القياسية كتواريخ مقروءة للإنسان بحيث يمكنك رصد الرموز المنتهية بلمحة واحدة.

features

إذا احتوت الحمولة على مطالبة "exp" القياسية، تقارنها الأداة بالوقت الحالي وتعرض إما "صالح حتى" أو "انتهت صلاحية الرمز في" مع الطابع الزمني الدقيق. أما الرموز التي لا تحتوي على مطالبة exp فيُبلَّغ عنها بأنها بلا تاريخ انتهاء.

features

يمكن لأي شخص يقرأ حمولة رمز JWT استخدامه حتى انتهاء صلاحيته، لذا فإن رموز الإنتاج تنتمي إلى الأدوات الخاصة. يعمل أداة فك التشفير هذه بالكامل داخل متصفحك ولا تنقل الرمز إطلاقًا، لكن القاعدة الأكثر أمانًا هي فك تشفير رموز التطوير قصيرة العمر كلما أمكن ذلك.

privacy

يتكوّن الـ JWT من ثلاثة أجزاء مُرمّزة بترميز Base64URL ومفصولة بنقاط: الترويسة (خوارزمية التوقيع)، والحمولة (المطالبات التي يريد المُصدر أن يثق بها المُتحقّق)، والتوقيع (رمز MAC أو توقيع رقمي على header.payload). فك الترميز لا يحتاج أبدًا إلى مفتاح — التحقّق وحده هو الذي يحتاجه.

technical

رمز مدمج وآمن للاستخدام في URL يتكوّن من ثلاثة أجزاء بترميز Base64URL — الترويسة والحمولة والتوقيع — ويحمل ادعاءات موقّعة مثل معرّف المستخدم ووقت انتهاء الصلاحية. يُستخدم على نطاق واسع لجلسات تسجيل الدخول عديمة الحالة وتأمين طلبات API. الصق واحدًا في الأعلى لفحص ترويسته وحمولته.

technical

أسفل الترويسة والحمولة المفكوكتين، الصق سرّ التوقيع (لـ HS256) أو المفتاح العام للمُصدِر بصيغة PEM أو JWK (لـ RS256 وES256 وما شابهها) في مربّع «التحقّق من التوقيع»، ثم انقر «تحقّق». وتُبيّن الشارة الظاهرة ما إذا كان التوقيع صالحًا أو غير صالح أو يستخدم خوارزمية لا يدعمها المدقّق في المتصفّح — وكل ذلك يُحسَب محليًا دون إرسال الرمز أو المفتاح إلى أي مكان.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

تصحيح تدفقات OAuth وOpenID Connect

فُكّ ترميز رموز الوصول ورموز المعرّف التي تُرجعها Auth0 وOkta وCognito وAzure AD للتحقق من النطاقات والجمهور والجهات المُصدِرة أثناء عمل تكامل OAuth المحلي

For Developers

فحص ترويسات التفويض في استدعاءات API

الصق الرمز الحامل (bearer token) من طلب API فاشل للتأكد مما إذا كان المستأجِر أو الدور أو تاريخ الانتهاء الخاطئ هو السبب قبل فتح تذكرة مع فريق الخادم

For Developers

تحقق من انتهاء صلاحية الرمز المميز أثناء التطوير

اكتشف الرموز المنتهية الصلاحية التي تعطّل بيئة التجهيز لديك بصمت من خلال قراءة المطالبة exp — دون الحاجة إلى نسخ الرمز إلى الطرفية أو كتابة سكربت سريع

For Business

تدقيق الصلاحيات المُشفّرة في مطالبات الرمز

تحقّق من المطالبات المخصّصة مثل الأدوار والمستأجرين وأعلام الميزات حتى يتمكّن المسؤولون من تأكيد أن رمز العميل يمنح بالضبط مستوى الوصول الذي قصده فريق الترخيص

For Business

التحقق من تكاملات الدخول الموحّد

افحص رموز SAML و OIDC الناتجة عن تكاملات تسجيل الدخول الموحّد للمؤسسات للتأكد من عضويات المجموعات وتعيينات السمات قبل الطرح لجميع الموظفين

Education

علّم المصادقة القائمة على الرموز

استخدم لوحات الترويسة والحمولة والتوقيع المفكّكة لشرح كيفية بنية رموز JWT لطلاب المعسكرات التدريبية والمهندسين المبتدئين وحضور ورش الأمان

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.