JWT Декодер - Декодування та верифікація JWT у браузері

// декодуйте JWT без надсилання даних на сервер

Тільки на стороні клієнта — ваші дані ніколи не залишають браузер
Введення токена
Перетягніть файл JWT або текст сюди

Як декодувати JWT токени

1

Вставте ваш JWT токен

Скопіюйте ваш JSON Web Token та вставте його в поле введення. JWT декодер автоматично парсить та декодує токен у кодуванні Base64URL миттєво.

2

Перегляньте декодовані твердження

Вивчіть декодований заголовок та корисне навантаження JWT. Переглядайте твердження iss, sub, exp та iat у форматі JSON або таблиці з читабельними мітками часу.

3

Перевірте підпис JWT

Введіть секретний або публічний ключ для перевірки підпису токена. Підтримуються алгоритми HS256, HS384, HS512 (HMAC) для валідації підпису.

Що таке JSON Web Token (JWT)?

заголовок . корисне навантаження . підпис

JSON Web Token (JWT) — це відкритий стандарт (RFC 7519) для безпечної передачі інформації між сторонами у вигляді компактного, безпечного для URL JSON-об'єкта. JWT широко використовуються для автентифікації, авторизації та обміну інформацією в сучасних веб-додатках, API та системах єдиного входу (SSO).

заголовок

Містить тип токена та алгоритм підпису (наприклад, HS256, RS256, ES256).

{"alg": "HS256", "typ": "JWT"}

корисне навантаження

Містить твердження: зареєстровані (iss, exp, sub), публічні та приватні.

{"sub": "user123", "exp": 1699999999}

підпис

Криптографічний підпис, що підтверджує, що токен не було змінено.

HMACSHA256(base64(header).base64(payload), secret)

Типові випадки використання JWT

Автентифікація API

JWT — стандарт для захисту REST API. Після входу сервер видає JWT, який клієнт включає в заголовок Authorization: Bearer для наступних запитів.

Єдиний вхід (SSO)

JWT забезпечують безшовну автентифікацію в кількох додатках. Один вхід генерує токен, що працює в усіх пов'язаних сервісах вашої організації.

Обмін інформацією

Безпечна передача даних між сторонами. Підпис гарантує ідентичність відправника та те, що повідомлення не було змінено під час передачі.

Автентифікація мобільних додатків

Автентифікація без збереження стану, ідеальна для мобільних додатків. Не потрібні серверні сесії — JWT містить усю необхідну інформацію про користувача.

Часті запитання

Чи безпечно використовувати цей JWT декодер для продакшн-токенів?

Так, цей JWT декодер повністю безпечний. Усе декодування та верифікація відбувається виключно у вашому браузері за допомогою JavaScript. Ваші токени та секретні ключі ніколи не надсилаються на жоден сервер. Ви можете перевірити це, переглянувши мережеві запити в інструментах розробника браузера — жодні дані не залишають ваш пристрій.

Яка різниця між декодуванням та верифікацією JWT?

Декодування просто перетворює закодовані в Base64URL заголовок та корисне навантаження назад у читабельний JSON. Будь-хто може декодувати JWT без ключа. Верифікація перевіряє криптографічний підпис, щоб переконатися, що токен не було змінено та він був виданий довіреним джерелом. Верифікація вимагає секретний ключ (для HMAC) або публічний ключ (для RSA/ECDSA).

Які алгоритми підпису JWT підтримуються?

Цей інструмент може декодувати JWT, підписані будь-яким алгоритмом. Для верифікації підпису наразі підтримуються алгоритми HMAC (HS256, HS384, HS512) з використанням Web Crypto API. Підтримка верифікації RSA (RS256, RS384, RS512) та ECDSA (ES256, ES384, ES512) планується.

Чому верифікація підпису мого JWT не проходить?

Часті причини: 1) Неправильний секретний ключ — переконайтеся, що використовуєте точно той самий ключ, яким було підписано токен. 2) Неправильний формат — спробуйте перемкнутися між UTF-8 та Base64, якщо ваш секрет закодований у Base64. 3) Невідповідність алгоритму — перевірте, що твердження alg у заголовку відповідає вашому методу верифікації. 4) Токен було змінено — будь-яка зміна заголовка або корисного навантаження робить підпис недійсним.

Що означають стандартні твердження JWT?

Зареєстровані твердження, визначені в RFC 7519:

  • iss (видавець) – Хто видав токен
  • sub (суб'єкт) – Користувач або сутність, яку представляє токен
  • aud (аудиторія) – Передбачуваний отримувач токена
  • exp (закінчення) – Unix-мітка часу закінчення токена
  • nbf (не раніше) – Токен недійсний до цього часу
  • iat (виданий о) – Коли було створено токен
  • jti (ID JWT) – Унікальний ідентифікатор токена