JWT Декодер и Верификатор
Декодируйте JSON Web Tokens и проверяйте их подписи (HS256, RS256, ES256, EdDSA) полностью в браузере через Web Crypto API.
Как это работает
Декодировщик JWT (JSON Web Token) декодирует и отображает заголовок, полезную нагрузку и подпись JWT-токена без проверки подписи на стороне сервера.
Как использовать:
- Вставьте JWT-токен (формат xxxxx.yyyyy.zzzzz) в поле ввода.
- Инструмент отобразит декодированные заголовок и полезную нагрузку в читаемом JSON.
- Подпись отображается, но не проверяется (требуется секретный ключ).
Пример: сессионный JWT-токен → отображает ID пользователя, роль, дату истечения.
Ограничения: проверка подписи не выполняется — не доверяйте содержимому JWT без проверки на сервере. Не декодируйте токены с конфиденциальными данными на ненадёжных устройствах.
Конфиденциальность: декодирование полностью локальное.
Практический пример
Вставьте JWT из вашего потока аутентификации — инструмент разрежет его по точкам и декодирует каждую часть из base64url: заголовок (например, {"alg":"HS256","typ":"JWT"}), полезную нагрузку с клеймами вроде sub, iat и exp и сырую подпись. Метки времени отображаются человекочитаемыми датами, статус истечения вычисляется автоматически — просроченный токен помечается сразу, отвечая на самый частый вопрос отладки без терминала. Декодирование происходит целиком локально: боевой токен никогда не покидает вашу машину.
Сценарии использования
- Отладка ошибок аутентификации в веб- или мобильном приложении путём инспекции того, какие claims содержит токен
- Проверка, что просроченный или подделанный токен корректно отклоняется вашей логикой авторизации
- Проверка, что ваш провайдер идентификации подписывает токены правильным ключом и алгоритмом
- Обучение структуре JWT, claims и типичным ошибкам (alg none, key confusion, отсутствие exp) на реальном примере
- Быстрая сортировка инцидента в продакшене, когда токен отклоняется downstream-сервисом
Часто задаваемые вопросы
- Декодировщик проверяет подпись?
- Нет, отображаются только декодированные данные. Проверка требует секретного ключа на сервере.
- Опасно ли декодировать JWT?
- Нет, данные только закодированы в Base64, а не зашифрованы. Их может прочесть любой.
- Что содержится в полезной нагрузке?
- Обычно ID пользователя, роли, дата истечения и другие claims.
- Что такое exp в полезной нагрузке?
- Дата истечения токена в формате Unix timestamp.
- Токен отправляется на сервер?
- Нет, декодирование полностью локальное.