Перейти к содержимому
К
Версия сайта

Бесплатный онлайн-инструмент

JWT декодер

Вставьте JWT-токен — увидите header, payload и сроки действия. Всё декодируется в браузере, токен никуда не отправляется.

Структура JWT

  1. Header — алгоритм подписи (HS256, RS256) и тип токена. Base64URL от JSON.
  2. Payload — полезные данные: идентификатор пользователя (sub), издатель (iss), аудитория (aud), сроки. Тоже читается без ключа — не храните в JWT пароли и персональные данные.
  3. Signature — подпись первых двух частей секретным ключом. Сервер проверяет её при каждом запросе: изменить payload без ключа нельзя.

Отдельные Base64-строки декодируются в Base64 кодировщике, а Unix-даты — в Timestamp конвертере.

Частые вопросы

Что такое JWT?

JSON Web Token — стандарт передачи данных аутентификации: три части через точку — header (алгоритм), payload (данные: id пользователя, срок действия) и подпись. Первые две — просто Base64URL, их может прочитать кто угодно.

Безопасно ли вставлять сюда рабочий токен?

Декодирование выполняется в браузере, токен не отправляется на сервер. Но помните: действующий токен — это ключ доступа. Не публикуйте его в чатах и трекерах, а для отладки используйте истёкшие или тестовые токены.

Проверяет ли инструмент подпись?

Нет — для проверки подписи нужен секретный ключ или публичный ключ сервера. Инструмент показывает содержимое и срок действия, но не может подтвердить подлинность токена.

Что означают exp, iat, nbf?

Стандартные клеймы времени в Unix-формате: iat — когда выдан, nbf — не действителен до, exp — истекает. Инструмент переводит их в даты и показывает, истёк ли токен.