How do I check what's inside a JWT?

Paste the token — the tool shows header and payload as pretty-printed JSON, with timestamps (iat, exp, nbf) converted to human-readable dates. Useful for debugging API auth, checking user claims, and verifying token contents during OAuth integration.

Is JWT secure if I can decode it?

JWTs are signed, NOT encrypted. The payload is Base64-encoded JSON — anyone with the token can read it. Security comes from the signature: the issuer signs it so any tampering invalidates the token. Never put secrets in a JWT payload — only identifiers and claims.

How do I check if a JWT is expired?

The tool checks the 'exp' claim against current time. Shows EXPIRED or VALID in red/green. Useful when debugging 401 Unauthorized errors that might be expired-token issues.

Can I verify the signature?

If you provide the secret (HS256) or public key (RS256), yes — toggle 'verify signature' mode. Otherwise the tool only decodes (does not verify). For production debugging, always also verify on the server with the actual secret.

Are my tokens uploaded?

No — decoding runs entirely in the browser. Critical: never paste production tokens into untrusted online JWT decoders — even read access to a session token can let an attacker impersonate the user until it expires. This tool is browser-only with no logging.

What are the most common JWT claims?

iss (issuer), sub (subject / user ID), aud (audience / intended API), exp (expiry timestamp), iat (issued-at timestamp), nbf (not-before), jti (JWT ID). Plus custom claims: role, permissions, tenant_id, etc., depending on your app.

فك تشفير JWT - فك رموز رموز الويب JSON والتحقق من انتهاء صلاحية الصلاحية عبر الإنترنت

قم بلصق أي رمز ويب JSON لفك ترميز الرأس والحمولة فورا، وعرض التوقيع، والتحقق مما إذا كان قد انتهت صلاحيته. يعمل محليا — رموزك لا تغادر متصفحك أبدا.

JWT المشفر

تقوم هذه الأداة فقط بفك تشفير الرمز — فهي لا تتحقق من التوقيع مقابل مفتاح سري أو عام. أي شخص لديه الرمز يمكنه قراءة حمولته، لذا لا تضع الأسرار في JWT.

حول رموز الويب JSON

يحتوي JWT على ثلاثة مقاطع مشفرة ب Base64URL مفصولة بنقاط: الرأس، الحمولة، والتوقيع. يصف الرأس خوارزمية التوقيع، وتحمل الحمولة المطالبات (مثل sub، iat، exp)، والتوقيع يسمح للخادم بالتحقق من عدم العبث بالرمز. فك الترميز لا يتطلب سرا أبدا.

استمر في تحسين صورك

ارتق بتحرير الصور إلى المستوى التالي باستخدام هذه الأدوات الشائعة

📝

أضف نصا إلى الصورة

إضافة تسميات توضيحية وعناوين إلى صورتك المحسنة

🖼️

إضافة حدود الصورة

ضع إطار لتأثيرك بحدود جميلة

🗜️

ضغط الصورة

تحسين صورتك المحسنة للمشاركة

📐

تغيير حجم الصورة

تغيير أبعاد الصورة

📝

أضف نصا إلى الصورة

إضافة تسميات توضيحية وعناوين إلى صورتك المحسنة

جربه الآن

🖼️

إضافة حدود الصورة

ضع إطار لتأثيرك بحدود جميلة

جربه الآن

🗜️

ضغط الصورة

تحسين صورتك المحسنة للمشاركة

جربه الآن

📐

تغيير حجم الصورة

تغيير أبعاد الصورة

جربه الآن

🎨

صورة إلى رسوم متحركة

جرب أسلوبا فنيا مختلفا

جربه الآن

✏️

رسم قلم رصاص

إنشاء رسومات فنية بالقلم الرصاص

جربه الآن

استكشف جميع أدوات الصور

Frequently Asked Questions

الصق JWT المشفر (الطويل eyJ... string) في صندوق الإدخال. تقوم الأداة بتقسيم المؤشر على نقطتين، حيث تقوم Base64URL بفك تشفير الرأس والحمولة، وتعرض JSON لكل منهما بالإضافة إلى مقطع التوقيع الخام — كل ذلك دون الحاجة لأي طلب شبكة.

usage

لا. يقوم جهاز فك التشفير فقط بتحليل الرمز — ولا يتحقق من التوقيع مقابل مفتاح سري أو عام، لأن التحقق يتطلب مواد مفتاح المصدر. استخدم مكتبة JWT على جانب الخادم للتحقق من الإنتاج؛ هذه الأداة مخصصة للفحص والتصحيح.

technical

تحصل على الرأس (الخوارزمية ومعرف المفتاح)، ومطالبات الحمولة (sub، iss، aud، iat، exp وأي مطالبات مخصصة) والتوقيع الخام. مطالبات الطوابع الزمنية القياسية منسقة كتواريخ يمكن للبشر قراءتها بحيث يمكنك التعرف على الرموز القديمة بنظرة سريعة.

features

إذا كان الحمولة تحتوي على مطالبة "exp" القياسية، تقارن الأداة ذلك بالوقت الحالي وتظهر إما "صالح حتى" أو "الرمز انتهت صلاحيته" مع الطابع الزمني الدقيق. الرموز التي لا تحصل على مطالبة خبرة يتم الإبلاغ عنها بأنها بلا صلاحية.

features

أي شخص يقرأ حمولة JWT يمكنه استخدامه حتى انتهاء صلاحيتها، لذا يجب أن تكون رموز الإنتاج في الأدوات الخاصة. يعمل هذا المفكك بالكامل في متصفحك ولا يرسل الرمز أبدا، لكن القاعدة الأكثر أمانا هي فك تشفير رموز التطوير قصيرة العمر كلما أمكن.

privacy

يحتوي JWT على ثلاثة مقاطع مشفرة ب Base64URL مفصولة بنقاط: الرأس (خوارزمية الإشارة)، الحمولة (المطالبات التي يريد المصدر أن يثق بها المصحح) والتوقيع (توقيع MAC أو التوقيع الرقمي overheader.payload). فك التشفير لا يحتاج إلى مفتاح — فقط التحقق هو ما يحتاج.

technical

Use Cases

تصحيح تدفقات OAuth & OpenID Connect

تقوم بفك تشفير رموز الوصول ورموز التعريف التي أعيدها Auth0 وOkta وCognito وAzure AD للتحقق من النطاقات والجماهير والمصدرين أثناء أعمال تكامل OAuth المحلية

technical

فحص رؤوس التفويض في استدعاءات واجهات برمجة التطبيقات

قم بلصق رمز الحامل من طلب API فاشل للتأكد مما إذا كان المستأجر أو الدور أو مدة الصلاحية الخطأ هو السبب قبل فتح تذكرة مع فريق الواجهة الخلفية

technical

تحقق من انتهاء صلاحية الرمز أثناء التطوير

حدد الرموز المنتهية الصلاحية التي تكسر بيئة الترتيب بصمت من خلال قراءة مطالبة الخبرة — لا حاجة لنسخ الرمز إلى محطة أو كتابة سكريبت سريع

technical

أذونات التدقيق المشفرة في مطالبات الرموز

تحقق من المطالبات المخصصة مثل الأدوار والمستأجرين وعلامات الميزات حتى يتمكن المسؤولون من التأكد من أن رمز العميل يمنح بالضبط الوصول الذي يقصده فريق الترخيص

business

التحقق من صحة تكاملات تسجيل الدخول الواحد

افحص رموز SAML وOIDC التي تنتجها تكاملات SSO المؤسسية لتأكيد عضوية المجموعات ورسم خرائط السمات قبل توزيعها لجميع الموظفين

business

تعليم المصادقة المعتمدة على الرموز

استخدم الرؤوس المفككة، والحمولة، ولوحات التوقيع لشرح كيف يتم هيكلة JWTs لتناسب طلاب المعسكرات التدريبية، والمهندسين المبتدئين، وحضور ورش العمل الأمنية

educational