أداة فك ترميز JWT - فك ترميز رموز JSON Web Tokens والتحقق من انتهاء صلاحيتها عبر الإنترنت
الصق أي رمز JSON Web Token لفك ترميز ترويسته وحمولته فورًا، وعرض التوقيع، والتحقق مما إذا كان قد انتهت صلاحيته. يعمل محليًا — لا تغادر رموزك متصفحك أبدًا.
Decode and verify entirely in your browser — nothing is uploaded.
انتهيت من فاكّ ترميز JWT؟ جرّب هذه الأدوات بعد ذلك
أدوات منتقاة بعناية تتكامل مع فاكّ تشفير JWT. واصل عملك دون فقدان ملفك.
مُرمِّز / مُفكِّك ترميز Base64
رمّز أي نص أو ملف إلى Base64 (مع متغير آمن لعناوين URL)، أو فُكّ ترميز Base64 إلى نص. متوافق مع UTF-8.
جرّبه الآنمولّد التجزئة
احسب بصمات SHA-1 وSHA-256 وSHA-384 وSHA-512 السداسية عشرية لأي نص أو ملف باستخدام واجهة Web Crypto API في المتصفح.
جرّبه الآنتجميل JSON
نسّق JSON وتحقق من صحته وصغّر حجمه في متصفحك. مسافة بادئة منسّقة 2 / 4 / 8 أو تصغير في سطر واحد مع النسخ + التنزيل.
جرّبه الآنأداة ترميز / فك ترميز URL
رمّز مكوّنات URL أو عناوين URL كاملة بترميز النسبة المئوية، وفكّ ترميزها مجددًا. بوضعَي encodeURIComponent وencodeURI.
جرّبه الآنمولِّد كلمات المرور
أنشئ كلمات مرور قوية عشوائية تشفيرياً يصل طولها إلى 128 حرفاً مع تقدير حيّ للإنتروبيا.
جرّبه الآنأداة مقارنة النصوص
قارن مقتطفين نصيين سطرًا بسطر. عرض منقسم أو موحّد، مع خيار تجاهل المسافات وتجاهل حالة الأحرف.
جرّبه الآنFrequently Asked Questions
الصق رمز JWT المُرمَّز (السلسلة الطويلة eyJ…) في صندوق الإدخال. تقسمه الأداة عند النقطتين، وتفك ترميز الترويسة والحمولة بـ Base64URL، وتعرض كود JSON لكل منهما إضافةً إلى مقطع التوقيع الخام — وكل ذلك دون إجراء أي طلب شبكي.
usageلا. يقوم أداة فك الترميز بتحليل الرمز فقط — فهو لا يتحقق من التوقيع مقابل مفتاح سري أو عام، لأن التحقق يتطلب مادة مفتاح الجهة المُصدِرة. استخدم مكتبة JWT على جانب الخادم للتحقق في بيئة الإنتاج؛ هذه الأداة مخصصة للفحص وتصحيح الأخطاء.
technicalتحصل على الترويسة (الخوارزمية ومعرّف المفتاح)، ومطالبات الحمولة (sub وiss وaud وiat وexp وأي مطالبات مخصصة)، والتوقيع الخام. وتُنسَّق مطالبات الطوابع الزمنية القياسية كتواريخ مقروءة للإنسان بحيث يمكنك رصد الرموز المنتهية بلمحة واحدة.
featuresإذا احتوت الحمولة على مطالبة "exp" القياسية، تقارنها الأداة بالوقت الحالي وتعرض إما "صالح حتى" أو "انتهت صلاحية الرمز في" مع الطابع الزمني الدقيق. أما الرموز التي لا تحتوي على مطالبة exp فيُبلَّغ عنها بأنها بلا تاريخ انتهاء.
featuresيمكن لأي شخص يقرأ حمولة رمز JWT استخدامه حتى انتهاء صلاحيته، لذا فإن رموز الإنتاج تنتمي إلى الأدوات الخاصة. يعمل أداة فك التشفير هذه بالكامل داخل متصفحك ولا تنقل الرمز إطلاقًا، لكن القاعدة الأكثر أمانًا هي فك تشفير رموز التطوير قصيرة العمر كلما أمكن ذلك.
privacyيتكوّن الـ JWT من ثلاثة أجزاء مُرمّزة بترميز Base64URL ومفصولة بنقاط: الترويسة (خوارزمية التوقيع)، والحمولة (المطالبات التي يريد المُصدر أن يثق بها المُتحقّق)، والتوقيع (رمز MAC أو توقيع رقمي على header.payload). فك الترميز لا يحتاج أبدًا إلى مفتاح — التحقّق وحده هو الذي يحتاجه.
technicalرمز مدمج وآمن للاستخدام في URL يتكوّن من ثلاثة أجزاء بترميز Base64URL — الترويسة والحمولة والتوقيع — ويحمل ادعاءات موقّعة مثل معرّف المستخدم ووقت انتهاء الصلاحية. يُستخدم على نطاق واسع لجلسات تسجيل الدخول عديمة الحالة وتأمين طلبات API. الصق واحدًا في الأعلى لفحص ترويسته وحمولته.
technicalأسفل الترويسة والحمولة المفكوكتين، الصق سرّ التوقيع (لـ HS256) أو المفتاح العام للمُصدِر بصيغة PEM أو JWK (لـ RS256 وES256 وما شابهها) في مربّع «التحقّق من التوقيع»، ثم انقر «تحقّق». وتُبيّن الشارة الظاهرة ما إذا كان التوقيع صالحًا أو غير صالح أو يستخدم خوارزمية لا يدعمها المدقّق في المتصفّح — وكل ذلك يُحسَب محليًا دون إرسال الرمز أو المفتاح إلى أي مكان.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
تصحيح تدفقات OAuth وOpenID Connect
فُكّ ترميز رموز الوصول ورموز المعرّف التي تُرجعها Auth0 وOkta وCognito وAzure AD للتحقق من النطاقات والجمهور والجهات المُصدِرة أثناء عمل تكامل OAuth المحلي
فحص ترويسات التفويض في استدعاءات API
الصق الرمز الحامل (bearer token) من طلب API فاشل للتأكد مما إذا كان المستأجِر أو الدور أو تاريخ الانتهاء الخاطئ هو السبب قبل فتح تذكرة مع فريق الخادم
تحقق من انتهاء صلاحية الرمز المميز أثناء التطوير
اكتشف الرموز المنتهية الصلاحية التي تعطّل بيئة التجهيز لديك بصمت من خلال قراءة المطالبة exp — دون الحاجة إلى نسخ الرمز إلى الطرفية أو كتابة سكربت سريع
تدقيق الصلاحيات المُشفّرة في مطالبات الرمز
تحقّق من المطالبات المخصّصة مثل الأدوار والمستأجرين وأعلام الميزات حتى يتمكّن المسؤولون من تأكيد أن رمز العميل يمنح بالضبط مستوى الوصول الذي قصده فريق الترخيص
التحقق من تكاملات الدخول الموحّد
افحص رموز SAML و OIDC الناتجة عن تكاملات تسجيل الدخول الموحّد للمؤسسات للتأكد من عضويات المجموعات وتعيينات السمات قبل الطرح لجميع الموظفين
علّم المصادقة القائمة على الرموز
استخدم لوحات الترويسة والحمولة والتوقيع المفكّكة لشرح كيفية بنية رموز JWT لطلاب المعسكرات التدريبية والمهندسين المبتدئين وحضور ورش الأمان
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate