JWT декодер

Декодуйте заголовок і корисне навантаження JWT миттєво, прямо в браузері.

Реклама

Тут може бути ваша реклама

Зв'язатися з нами

Цей безкоштовний JWT-декодер дозволяє миттєво переглянути вміст JSON Web Token. Вставте токен, і він розділить його на три частини — заголовок, корисне навантаження і підпис, — декодуючи заголовок і корисне навантаження з base64url у читабельний JSON, і автоматично перетворює стандартні дата-поля exp, iat і nbf у зрозумілі часові мітки.

Цей інструмент лише декодує токен; він не перевіряє підпис, оскільки це вимагає секретного чи публічного ключа, яким токен був підписаний, — доступу до цього ключа інструмент ніколи не має. Декодування відбувається повністю в браузері на JavaScript — вставлений токен нікуди не надсилається, тому безпечно перевіряти токени з чутливими даними під час розробки чи налагодження.

Реклама

Тут може бути ваша реклама

Зв'язатися з нами

Часті запитання

Що таке JWT?

JSON Web Token (JWT) — компактний, безпечний для URL формат для передачі тверджень (claims) між двома сторонами, зазвичай використовуваний для автентифікації та авторизації у веб-застосунках і API.

З яких трьох частин складається JWT?

JWT складається із заголовка (що описує тип токена й алгоритм підпису), корисного навантаження (claims чи дані) і підпису, розділених крапками, кожна частина закодована в base64url.

Чи перевіряє цей інструмент підпис JWT?

Ні. Перевірка підпису вимагає секретного чи публічного ключа, яким був підписаний токен, — цього ключа в інструмента немає і він ніколи його не запитує. Він лише декодує заголовок і корисне навантаження, щоб ви могли прочитати їхній вміст.

Чи безпечно вставляти JWT у цей інструмент?

Так, у тому сенсі, що токен ніколи не надсилається на сервер — усе декодування відбувається локально в браузері на JavaScript. Тим не менш, ставтеся до токенів як до чутливих даних загалом, оскільки будь-хто з дійсним непростроченим токеном потенційно може ним скористатися.

Що таке поле "exp"?

«exp» (expiration time) — стандартне поле JWT, що вказує Unix-час, після якого токен більше не дійсний. Інструмент автоматично переводить його в читабельну дату для зручності.

Що таке поле "iat"?

«iat» (issued at) фіксує Unix-час створення токена, що корисно для визначення його віку.

Чи можна довіряти декодованому JWT без перевірки?

Ні. Будь-хто може декодувати корисне навантаження JWT, оскільки воно лише закодоване в base64url, а не зашифроване. Довіра до тверджень вимагає криптографічної перевірки підпису за правильним ключем на стороні сервера.

Чому мій токен показує помилку при декодуванні?

JWT має складатися рівно з трьох сегментів, розділених крапками, кожен — валідний base64url. Якщо токен обрізаний, містить зайві пробіли або насправді не є JWT, декодування завершиться помилкою.

Який алгоритм описує заголовок?

Заголовок зазвичай містить поле «alg», що описує алгоритм підпису (наприклад, HS256 чи RS256), і поле «typ», зазвичай рівне «JWT».

Чи можна використати це для налагодження токенів власного застосунку?

Так, це одне з найпоширеніших застосувань — швидко переглянути claims усередині токена, випущеного чи отриманого вашим застосунком, без написання власного коду декодування.