Только на стороне клиента — ваши данные никогда не покидают браузер

заголовок

полезная нагрузка

подпись

Секретный ключ / Публичный ключ

Поддерживает: Простой текст, Base64, публичные ключи PEM, формат JWK

Формат секретного ключа (для алгоритмов HMAC)

Ввод токена

Перетащите файл JWT или текст сюда

Как декодировать JWT токены

Вставьте ваш JWT токен

Скопируйте ваш JSON Web Token и вставьте его в поле ввода. JWT декодер автоматически парсит и декодирует токен в кодировке Base64URL мгновенно.

Просмотрите декодированные утверждения

Изучите декодированный заголовок и полезную нагрузку JWT. Просматривайте утверждения iss, sub, exp и iat в формате JSON или таблицы с читаемыми временными метками.

Проверьте подпись JWT

Введите секретный или публичный ключ для проверки подписи токена. Поддерживаются алгоритмы HS256, HS384, HS512 (HMAC) для валидации подписи.

Что такое JSON Web Token (JWT)?

заголовок . полезная нагрузка . подпись

JSON Web Token (JWT) — это открытый стандарт (RFC 7519) для безопасной передачи информации между сторонами в виде компактного, безопасного для URL JSON-объекта. JWT широко используются для аутентификации, авторизации и обмена информацией в современных веб-приложениях, API и системах единого входа (SSO).

заголовок

Содержит тип токена и алгоритм подписи (например, HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

полезная нагрузка

Содержит утверждения: зарегистрированные (iss, exp, sub), публичные и приватные.

{"sub": "user123", "exp": 1699999999}

подпись

Криптографическая подпись, подтверждающая, что токен не был изменён.

HMACSHA256(base64(header).base64(payload), secret)

Типичные случаи использования JWT

Аутентификация API

JWT — стандарт для защиты REST API. После входа сервер выдаёт JWT, который клиент включает в заголовок Authorization: Bearer для последующих запросов.

Единый вход (SSO)

JWT обеспечивают бесшовную аутентификацию в нескольких приложениях. Один вход генерирует токен, работающий во всех связанных сервисах вашей организации.

Обмен информацией

Безопасная передача данных между сторонами. Подпись гарантирует идентичность отправителя и то, что сообщение не было изменено при передаче.

Аутентификация мобильных приложений

Аутентификация без сохранения состояния, идеальная для мобильных приложений. Не нужны серверные сессии — JWT содержит всю необходимую информацию о пользователе.

Часто задаваемые вопросы

Безопасно ли использовать этот JWT декодер для продакшн-токенов?

Да, этот JWT декодер полностью безопасен. Всё декодирование и верификация происходит исключительно в вашем браузере с использованием JavaScript. Ваши токены и секретные ключи никогда не отправляются на какой-либо сервер. Вы можете проверить это, посмотрев сетевые запросы в инструментах разработчика браузера — никакие данные не покидают ваше устройство.

В чём разница между декодированием и верификацией JWT?

Декодирование просто преобразует закодированные в Base64URL заголовок и полезную нагрузку обратно в читаемый JSON. Любой может декодировать JWT без ключа. Верификация проверяет криптографическую подпись, чтобы убедиться, что токен не был изменён и был выдан доверенным источником. Верификация требует секретный ключ (для HMAC) или публичный ключ (для RSA/ECDSA).

Какие алгоритмы подписи JWT поддерживаются?

Этот инструмент может декодировать JWT, подписанные любым алгоритмом. Для верификации подписи в настоящее время поддерживаются алгоритмы HMAC (HS256, HS384, HS512) с использованием Web Crypto API. Поддержка верификации RSA (RS256, RS384, RS512) и ECDSA (ES256, ES384, ES512) планируется.

Почему верификация подписи моего JWT не проходит?

Частые причины: 1) Неправильный секретный ключ — убедитесь, что используете точно тот же ключ, которым был подписан токен. 2) Неправильный формат — попробуйте переключиться между UTF-8 и Base64, если ваш секрет закодирован в Base64. 3) Несоответствие алгоритма — проверьте, что утверждение alg в заголовке соответствует вашему методу верификации. 4) Токен был изменён — любое изменение заголовка или полезной нагрузки делает подпись недействительной.

Что означают стандартные утверждения JWT?

Зарегистрированные утверждения, определённые в RFC 7519:

iss (издатель) – Кто выдал токен
sub (субъект) – Пользователь или сущность, которую представляет токен
aud (аудитория) – Предполагаемый получатель токена
exp (истечение) – Unix-метка времени истечения токена
nbf (не ранее) – Токен недействителен до этого времени
iat (выдан в) – Когда был создан токен
jti (ID JWT) – Уникальный идентификатор токена