JWT декодер

Декодируйте заголовок и полезную нагрузку JWT мгновенно, прямо в браузере.

Реклама

Здесь может быть ваша реклама

Связаться с нами

Этот бесплатный JWT-декодер позволяет мгновенно посмотреть содержимое JSON Web Token. Вставьте токен, и он разделит его на три части — заголовок, полезную нагрузку и подпись, — декодируя заголовок и полезную нагрузку из base64url в читаемый JSON, и автоматически преобразует стандартные датовые поля exp, iat и nbf в понятные временные метки.

Этот инструмент только декодирует токен; он не проверяет подпись, поскольку это требует секретного или публичного ключа, которым токен был подписан, — доступа к этому ключу у инструмента никогда нет. Декодирование происходит полностью в браузере на JavaScript — вставленный токен никуда не отправляется, поэтому безопасно проверять токены с чувствительными данными во время разработки или отладки.

Реклама

Здесь может быть ваша реклама

Связаться с нами

Часто задаваемые вопросы

Что такое JWT?

JSON Web Token (JWT) — компактный, безопасный для URL формат для передачи утверждений (claims) между двумя сторонами, обычно используемый для аутентификации и авторизации в веб-приложениях и API.

Из каких трёх частей состоит JWT?

JWT состоит из заголовка (описывающего тип токена и алгоритм подписи), полезной нагрузки (claims или данные) и подписи, разделённых точками, каждая часть закодирована в base64url.

Проверяет ли этот инструмент подпись JWT?

Нет. Проверка подписи требует секретного или публичного ключа, которым был подписан токен, — этого ключа у инструмента нет и он никогда его не запрашивает. Он только декодирует заголовок и полезную нагрузку, чтобы вы могли прочитать их содержимое.

Безопасно ли вставлять JWT в этот инструмент?

Да, в том смысле, что токен никогда не отправляется на сервер — всё декодирование происходит локально в браузере на JavaScript. Тем не менее относитесь к токенам как к чувствительным данным в целом, поскольку любой обладатель действующего непросроченного токена потенциально может его использовать.

Что такое поле "exp"?

«exp» (expiration time) — стандартное поле JWT, указывающее Unix-время, после которого токен больше не действителен. Инструмент автоматически переводит его в читаемую дату для удобства.

Что такое поле "iat"?

«iat» (issued at) фиксирует Unix-время создания токена, что полезно для определения его возраста.

Можно ли доверять декодированному JWT без проверки?

Нет. Любой может декодировать полезную нагрузку JWT, поскольку она лишь закодирована в base64url, а не зашифрована. Доверие к утверждениям требует криптографической проверки подписи по правильному ключу на стороне сервера.

Почему мой токен показывает ошибку при декодировании?

JWT должен состоять ровно из трёх сегментов, разделённых точками, каждый — валидный base64url. Если токен обрезан, содержит лишние пробелы или на самом деле не является JWT, декодирование завершится ошибкой.

Какой алгоритм описывает заголовок?

Заголовок обычно содержит поле «alg», описывающее алгоритм подписи (например, HS256 или RS256), и поле «typ», обычно равное «JWT».

Можно ли использовать это для отладки токенов своего приложения?

Да, это одно из самых распространённых применений — быстро посмотреть claims внутри токена, выпущенного или полученного вашим приложением, без написания собственного кода декодирования.