T

Text Machine

Мощные текстовые инструменты прямо в браузере

Декодер JWT

Декодируйте любой JSON Web Token, чтобы изучить его заголовок, полезную нагрузку и утверждения в удобном для чтения виде, и при желании проверьте подпись HMAC (HS256/384/512). Всё остаётся в вашем браузере.

Закодированный токен

Как пользоваться Декодер JWT

  1. 1

    Вставьте токен

    Вставьте закодированный JSON Web Token в поле ввода. Декодер автоматически разделит его на заголовок, полезную нагрузку и подпись.

  2. 2

    Прочитайте утверждения

    Изучите декодированные заголовок и полезную нагрузку в виде форматированного JSON и просмотрите зарегистрированные утверждения, например время истечения и выдачи, представленные как читаемые даты.

  3. 3

    Проверьте подпись

    Для токенов HMAC введите секрет подписи, чтобы убедиться, что подпись действительна и токен не был изменён.

  4. 4

    Скопируйте нужное

    Скопируйте форматированный JSON заголовка или полезной нагрузки в буфер обмена, чтобы использовать его в тестах, документации или при отладке.

Часто задаваемые вопросы

Что такое JSON Web Token (JWT)?
JSON Web Token — это компактный и безопасный для URL способ представления утверждений между двумя сторонами. Он состоит из трёх частей, закодированных в Base64URL, — заголовка, полезной нагрузки и подписи, разделённых точками, — и широко применяется для аутентификации и авторизации в веб-API.
Раскрывает ли декодирование JWT пароль или секрет?
Нет. Заголовок и полезная нагрузка только закодированы в Base64URL, но не зашифрованы, поэтому их может прочитать кто угодно — именно поэтому никогда не храните в токене конфиденциальные секреты. Сам секрет подписи никогда не входит в токен, и его нельзя восстановить путём декодирования.
Как здесь работает проверка подписи?
Для алгоритмов HMAC (HS256, HS384, HS512) инструмент заново вычисляет подпись из заголовка, полезной нагрузки и предоставленного вами секрета с помощью встроенного в браузер Web Crypto API, а затем сравнивает её с подписью токена. Асимметричные алгоритмы, такие как RS256 и ES256, требуют открытых ключей и декодируются, но не проверяются.
Что означают утверждения exp и iat?
exp (время истечения) и iat (время выдачи) — это зарегистрированные утверждения, хранящиеся как временные метки Unix в секундах. Этот декодер преобразует их в читаемые даты и показывает, активен ли токен сейчас, ещё не действителен или уже истёк, исходя из часов вашего устройства.
Отправляется ли мой токен на сервер?
Нет. Декодирование и проверка подписи выполняются полностью в вашем браузере. Ваш токен и секрет никогда не загружаются, не записываются в журнал и не сохраняются, поэтому даже рабочие токены остаются полностью конфиденциальными.

Похожие инструменты

Продолжайте работу с этими удобными инструментами

URL Encoder / Decoder

Кодирование / Декодирование Base64

Конвертер HTML в Текст

Форматтер JSON

Тестер регулярных выражений

Генератор CSS-градиентов