JWT декодер
Декодуйте заголовок і корисне навантаження JWT миттєво, прямо в браузері.
Цей безкоштовний JWT-декодер дозволяє миттєво переглянути вміст JSON Web Token. Вставте токен, і він розділить його на три частини — заголовок, корисне навантаження і підпис, — декодуючи заголовок і корисне навантаження з base64url у читабельний JSON, і автоматично перетворює стандартні дата-поля exp, iat і nbf у зрозумілі часові мітки.
Цей інструмент лише декодує токен; він не перевіряє підпис, оскільки це вимагає секретного чи публічного ключа, яким токен був підписаний, — доступу до цього ключа інструмент ніколи не має. Декодування відбувається повністю в браузері на JavaScript — вставлений токен нікуди не надсилається, тому безпечно перевіряти токени з чутливими даними під час розробки чи налагодження.
Часті запитання
Що таке JWT?
JSON Web Token (JWT) — компактний, безпечний для URL формат для передачі тверджень (claims) між двома сторонами, зазвичай використовуваний для автентифікації та авторизації у веб-застосунках і API.
З яких трьох частин складається JWT?
JWT складається із заголовка (що описує тип токена й алгоритм підпису), корисного навантаження (claims чи дані) і підпису, розділених крапками, кожна частина закодована в base64url.
Чи перевіряє цей інструмент підпис JWT?
Ні. Перевірка підпису вимагає секретного чи публічного ключа, яким був підписаний токен, — цього ключа в інструмента немає і він ніколи його не запитує. Він лише декодує заголовок і корисне навантаження, щоб ви могли прочитати їхній вміст.
Чи безпечно вставляти JWT у цей інструмент?
Так, у тому сенсі, що токен ніколи не надсилається на сервер — усе декодування відбувається локально в браузері на JavaScript. Тим не менш, ставтеся до токенів як до чутливих даних загалом, оскільки будь-хто з дійсним непростроченим токеном потенційно може ним скористатися.
Що таке поле "exp"?
«exp» (expiration time) — стандартне поле JWT, що вказує Unix-час, після якого токен більше не дійсний. Інструмент автоматично переводить його в читабельну дату для зручності.
Що таке поле "iat"?
«iat» (issued at) фіксує Unix-час створення токена, що корисно для визначення його віку.
Чи можна довіряти декодованому JWT без перевірки?
Ні. Будь-хто може декодувати корисне навантаження JWT, оскільки воно лише закодоване в base64url, а не зашифроване. Довіра до тверджень вимагає криптографічної перевірки підпису за правильним ключем на стороні сервера.
Чому мій токен показує помилку при декодуванні?
JWT має складатися рівно з трьох сегментів, розділених крапками, кожен — валідний base64url. Якщо токен обрізаний, містить зайві пробіли або насправді не є JWT, декодування завершиться помилкою.
Який алгоритм описує заголовок?
Заголовок зазвичай містить поле «alg», що описує алгоритм підпису (наприклад, HS256 чи RS256), і поле «typ», зазвичай рівне «JWT».
Чи можна використати це для налагодження токенів власного застосунку?
Так, це одне з найпоширеніших застосувань — швидко переглянути claims усередині токена, випущеного чи отриманого вашим застосунком, без написання власного коду декодування.