JWT-декодер
Вставьте JSON Web Token, чтобы увидеть header и payload. Декодер работает в браузере — токен не покидает устройство.
Полезно при отладке API, проверке токенов OAuth или OpenID, разборе claim-ов в access-токене.
Заголовок
Decoded header will appear here.
Payload
Decoded payload will appear here.
Сводка claim-ов
Только декодирование — без проверки подписи
Этот инструмент декодирует только header и payload токена. Он не проверяет подпись, потому что для проверки нужен секрет или публичный ключ, а делать это в браузере бессмысленно — всё, что вы вставляете, уже доступно пользователю. Результат — только информационный.
Что такое JWT?
JSON Web Token (RFC 7519) — компактная строка из трёх Base64url-секций, разделённых точками: header.payload.signature. Header указывает алгоритм подписи, payload несёт claim-ы, а подпись позволяет серверу доказать, что токен не подменён.
Примеры
A minimal HS256 token with a single sub claim:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.dozjgNryP4J3jVmNHl0w5N_XgL0n3I9PlFUP0THsR8U
Частые вопросы
Проверяет ли этот инструмент подпись?
Нет. Декодируются только header и payload. Проверка подписи требует секрета или публичного ключа и должна выполняться на доверенном сервере, а не в браузере.
Отправляется ли токен на сервер?
Нет. Декодер работает целиком в браузере. Токен парсится локально и не покидает устройство.
Что означают exp, iat и nbf?
Это стандартные зарегистрированные claim-ы: iat — время выдачи, nbf — время «не ранее», exp — время истечения. Все три — Unix-таймстемпы в секундах.
Почему символы Base64 в JWT отличаются от обычного Base64?
JWT использует Base64url, где + заменяется на -, / на _, а padding = убирается. Декодер обрабатывает это автоматически.