Декодировщик JWT позволяет мгновенно декодировать и инспектировать токены JSON Web Token - достаточно вставить токен, чтобы увидеть его заголовок, payload и информацию о сроке действия. Всё работает безопасно в браузере, без отправки токена на серверы.
Что такое JWT (JSON Web Token)?
JWT (JSON Web Token) - это открытый стандарт (RFC 7519), определяющий компактный и самодостаточный способ безопасной передачи информации между сторонами в виде объекта JSON. Токены JWT широко применяются для:
- Авторизации - после входа в систему каждый запрос содержит JWT, который обеспечивает доступ к защищённым ресурсам
- Обмена информацией - безопасная передача данных между сервисами
Токен JWT состоит из трёх частей, разделённых точками:
- Header (заголовок) - алгоритм подписи и тип токена
- Payload (нагрузка) - данные, так называемые claims (утверждения), например user_id, roles, exp
- Signature (подпись) - верификация подлинности токена
Каждая часть закодирована в Base64URL (не зашифрована!), поэтому её можно декодировать без знания ключа.
Как использовать Декодировщик JWT - пошаговая инструкция
- Откройте Декодировщик JWT.
- Вставьте JWT токен в поле ввода (формат:
xxxxx.yyyyy.zzzzz). - Вы сразу увидите декодированные Header и Payload в формате JSON.
- Проверьте поле
exp(expiration) - инструмент показывает, истёк ли токен. - Скопируйте нужный фрагмент JSON, нажав кнопку копирования.
Инструмент не проверяет подпись (для этого нужен секретный ключ), но позволяет полностью инспектировать содержимое токена.
Примеры использования
- Отладка API - проверка данных в токене, отправляемом клиентом
- Контроль прав доступа - верификация наличия нужных ролей и прав в токене
- Диагностика проблем с истечением - быстрая проверка актуальности токена (поле
exp) - Изучение безопасности - понимание структуры токенов JWT
- Тестирование - инспекция токенов, сгенерированных тестовой средой
- Документация API - демонстрация примеров токенов в документации
Часто задаваемые вопросы
Безопасно ли декодировать JWT? Да, абсолютно безопасно. Помните, что JWT закодирован (Base64URL), но не зашифрован. Любой, у кого есть токен, может его декодировать - это нормальное поведение. Безопасность JWT обеспечивается цифровой подписью, а не кодировкой.
Проверяет ли инструмент подпись? Нет. Для проверки подписи требуется доступ к секретному ключу (HMAC) или публичному ключу (RSA/ECDSA), который не содержится в самом токене. Инструмент показывает только декодированное содержимое.
Отправляется ли вставленный токен на серверы? Нет. Всё декодирование происходит в вашем браузере. Токен никогда не покидает ваше устройство.
Что означает поле exp в payload?
Поле exp (expiration) - это Unix timestamp (секунды с 1 января 1970 года), определяющий момент истечения срока действия токена. Инструмент автоматически сравнивает это значение с текущим временем и сообщает, действителен ли токен.
Анализируйте и отлаживайте JWT токены с лёгкостью с Декодировщик JWT - бесплатно и без регистрации.