JWT-декодер
Заголовок, полезная нагрузка и срок действия декодируются в автономном режиме — токен никогда не покидает ваш браузер.
Signature (base64url — verify server-side)
Вставьте токен, просмотрите все: декодированный заголовок и полезные данные, каждое заявление о времени, преобразованное в ваш местный часовой пояс с относительным возрастом, значок EXPIRED, который нельзя пропустить, и предупреждение системы безопасности, если токен использует алгоритм опасного отсутствия. Декодирование происходит полностью на вашем устройстве — откройте DevTools и наблюдайте: никаких сетевых запросов. Тестируете API, которому принадлежит токен? Наш конвертер cURL в код находится по соседству.
Часто задаваемые вопросы
Безопасно ли вставлять сюда настоящий JWT?
Токен полностью декодируется в вашем браузере — сетевые запросы не выполняются, ничего не регистрируется и не сохраняется, а после загрузки страница работает в автономном режиме. Тем не менее, относитесь к производственным токенам как к паролям как к привычке: отдавайте предпочтение просроченным или промежуточным токенам при отладке в любом онлайн-инструменте.
Что именно находится внутри JWT?
Три части base64url, разделенные точками: заголовок (алгоритм + тип), полезная нагрузка (ваши утверждения — идентификатор пользователя, роли, срок действия) и подпись. Первые два просто закодированы, а НЕ зашифрованы — любой, у кого есть токен, может их прочитать, что и показывает этот декодер.
Подтверждает ли это подпись?
Нет — для проверки требуется секретный или открытый ключ, который никогда не следует вставлять на веб-страницу. Этот инструмент декодирует и проверяет претензии (отладка 95%); проверьте подписи на стороне сервера с помощью библиотеки JWT вашей платформы.
Почему alg=none отмечен красным?
Печально известная атака «без алгоритма»: некоторые старые библиотеки принимали неподписанные токены, если в заголовке указано «alg none», что позволяло злоумышленникам подделать любую идентификацию. Серверы должны полностью отклонять такие токены — красный флаг напоминает вам, что вам следует проверить свои токены.
Что означают exp, iat и nbf?
Временные метки Unix, определяющие действительность: iat = при выдаче, nbf = ранее недействительный, exp = срок действия. Декодер преобразует каждое из них в ваше местное время с относительным описанием («2 часа назад») и отображает четкий значок «ИСТЕЧЕНО», когда это необходимо.