Skip to main content
Toolzer — Free Online Tools

فك JWT — عرض Header و Payload والتحقق من التوقيع

الصق توكن JWT وشاهد الـ Header والـ Payload وتاريخ الانتهاء — كل شيء محليًا في المتصفح.

عن الأداة

JSON Web Token (JWT) هو المعيار الأكثر شيوعًا لتمرير هوية المستخدم بين الواجهة والخادم في تطبيقات SPA و REST APIs. هذه الأداة تفك ترميز أي توكن JWT وتعرض Header (الخوارزمية ونوع التوكن) و Payload (الـ claims مثل sub و exp و iat)، مع تنبيه بصري إن كان التوكن منتهي الصلاحية أو مستقبلي. الفك يحدث كاملاً داخل المتصفح — التوكن لا يغادر جهازك، وهو أمر بالغ الأهمية لأن التوكنات تحتوي معلومات جلسة المستخدم. الأداة لا تتحقق من التوقيع (يحتاج المفتاح السرّي أو العام)، لكنها تخبرك بالخوارزمية المستخدمة (HS256, RS256, ES256).

الأسئلة الشائعة

هل التوكن يُرسل لخادم؟

لا مطلقًا. الفك يتم عبر JavaScript محليًا. مهم لأن JWT يحتوي جلستك النشطة.

لماذا JWT ليس مشفَّرًا؟

JWT الافتراضي (JWS) موقَّع فقط، أي أي شخص يفك ترميز Base64 يرى محتواه. للسرية استخدم JWE أو لا تضع بيانات حساسة في الـ payload.

كيف أعرف أن التوكن منتهي؟

قارن حقل exp (Unix timestamp) بالوقت الحالي. الأداة تعرض التاريخ الميلادي بالعربية والحالة.

ما الفرق بين HS256 و RS256؟

HS256 يستخدم مفتاحًا سرّيًا مشتركًا، بينما RS256 يستخدم زوج مفاتيح (خاص للتوقيع وعام للتحقق) — أنسب للأنظمة الموزعة.

هل يمكن تعديل التوكن يدويًا؟

نعم يمكن، لكن التوقيع سيصبح غير صالح وسيرفضه الخادم — إلا إذا كانت الخوارزمية alg=none وهذه ثغرة معروفة يجب رفضها في الخادم.