Декодер JWT
Просмотрите заголовок и клеймы JWT-токена.
- Мгновенно
- Бесплатно
- Приватно (обработка локально)
- Без регистрации
Посмотрите, что на самом деле несёт ваш токен
JWT выглядит как шум — на деле это JSON в кодировке base64url, читаемый кем угодно. Вставьте токен: инструмент разделит и декодирует заголовок и payload, отформатирует JSON, переведёт таймстампы в даты и сообщит, истёк ли токен.
Анатомия JWT
| Часть | Содержимое | Пример |
|---|---|---|
| Заголовок | Алгоритм и тип | {"alg":"HS256","typ":"JWT"} |
| Payload | Клеймы (бизнес-данные) | {"sub":"1234567890","exp":1716239022} |
| Подпись | HMAC или асимметричная подпись | SflKxwRJ… (кодированный бинарный блок) |
Зарегистрированные клеймы, которые стоит знать
- iss (issuer): кто выдал токен — ваш сервер аутентификации.
- sub (subject): к кому он относится — идентификатор пользователя.
- aud (audience): кому предназначен — API, который должен его принять.
- exp / nbf / iat: окно временной действительности в Unix-таймстампах.
Напоминание о безопасности: декодировать — не значит проверить. Токен с правдоподобным содержимым может быть подделан; авторитетна только серверная проверка подписи (с правильным ключом и алгоритмом). Не храните секреты в payload: он публичен.
Частые вопросы
Что такое JWT?
JSON Web Token (RFC 7519) — компактный токен из трёх частей в кодировке base64url, разделённых точками: заголовок (алгоритм), payload (клеймы: идентичность, срок действия…) и подпись, гарантирующая целостность.
Декодировать JWT — значит «взломать» его?
Нет. Заголовок и payload не зашифрованы, а лишь закодированы в base64url: прочитать их может кто угодно. Безопасность JWT держится на подписи, которая предотвращает изменение, а не чтение.
Проверяет ли этот инструмент подпись?
Нет, намеренно: он декодирует и показывает содержимое, не более. Проверка подписи требует секретного или публичного ключа и должна выполняться на сервере. Никогда не доверяйте токену лишь на основании его декодированного содержимого.
Что означают exp, iat и nbf?
Это Unix-таймстампы: exp — дата истечения, iat — дата выдачи, nbf — дата, до которой токен недействителен. Инструмент переводит их в читаемые даты и показывает, истёк ли токен.
Безопасно ли вставлять сюда настоящий токен?
Декодирование на 100 % локально; ничего не передаётся. Тем не менее из гигиены не работайте с действующими боевыми токенами вне защищённых сред и отзывайте случайно засвеченные токены.