Бесплатный онлайн-инструмент
JWT декодер
Вставьте JWT-токен — увидите header, payload и сроки действия. Всё декодируется в браузере, токен никуда не отправляется.
Структура JWT
- Header — алгоритм подписи (HS256, RS256) и тип токена. Base64URL от JSON.
- Payload — полезные данные: идентификатор пользователя (sub), издатель (iss), аудитория (aud), сроки. Тоже читается без ключа — не храните в JWT пароли и персональные данные.
- Signature — подпись первых двух частей секретным ключом. Сервер проверяет её при каждом запросе: изменить payload без ключа нельзя.
Отдельные Base64-строки декодируются в Base64 кодировщике, а Unix-даты — в Timestamp конвертере.
Частые вопросы
Что такое JWT?
JSON Web Token — стандарт передачи данных аутентификации: три части через точку — header (алгоритм), payload (данные: id пользователя, срок действия) и подпись. Первые две — просто Base64URL, их может прочитать кто угодно.
Безопасно ли вставлять сюда рабочий токен?
Декодирование выполняется в браузере, токен не отправляется на сервер. Но помните: действующий токен — это ключ доступа. Не публикуйте его в чатах и трекерах, а для отладки используйте истёкшие или тестовые токены.
Проверяет ли инструмент подпись?
Нет — для проверки подписи нужен секретный ключ или публичный ключ сервера. Инструмент показывает содержимое и срок действия, но не может подтвердить подлинность токена.
Что означают exp, iat, nbf?
Стандартные клеймы времени в Unix-формате: iat — когда выдан, nbf — не действителен до, exp — истекает. Инструмент переводит их в даты и показывает, истёк ли токен.