JWT Декодер
Войдите или зарегистрируйтесь, чтобы сохранять инструменты в избранное
Декодирование и анализ JWT-токенов онлайн
JWT (JSON Web Token) — стандарт для создания токенов доступа, состоящий из трёх частей, разделённых точками.
Header — содержит информацию об алгоритме подписи (alg) и типе токена (typ).
Payload — содержит данные (claims) — идентификатор пользователя, роли, время выдачи и истечения токена и другие поля.
Signature — подпись, которая гарантирует целостность токена. Отображается в шестнадцатеричном формате.
Если в payload есть поле «exp» (expiration), инструмент автоматически покажет, истёк токен или ещё действителен, и оставшееся время.
Декодирование выполняется на клиенте — токен не отправляется на сервер.
JWT Декодер онлайн — расшифровка токенов с цветовой кодировкой
JSON Web Token (JWT) — компактный и безопасный способ передачи данных между сторонами в виде JSON-объекта. Наш декодер разбирает токен на три цветовых части, отображает все claims с пояснениями и показывает сводку (алгоритм, срок действия, издатель).
Структура JWT токена
JWT состоит из трёх частей, разделённых точкой: Header.Payload.Signature
- Header (красный) — алгоритм подписи и тип токена. Base64url-кодированный JSON:
{"alg":"HS256","typ":"JWT"} - Payload (фиолетовый) — данные (claims): информация о пользователе, срок действия, права доступа
- Signature (синий) — криптографическая подпись для проверки подлинности. Вычисляется из header + payload + секретный ключ
Стандартные claims (RFC 7519)
| Claim | Название | Описание |
|---|---|---|
iss | Issuer | Издатель токена (например, "auth.example.com") |
sub | Subject | Субъект (ID пользователя) |
aud | Audience | Получатель токена |
exp | Expiration | Время истечения (Unix timestamp) |
nbf | Not Before | Токен не действителен до этого времени |
iat | Issued At | Время выпуска токена |
jti | JWT ID | Уникальный идентификатор токена |
Алгоритмы подписи
| Алгоритм | Тип | Применение |
|---|---|---|
| HS256 | HMAC-SHA256 (симметричный) | Микросервисы с общим секретом |
| HS512 | HMAC-SHA512 (симметричный) | Повышенная безопасность |
| RS256 | RSA-SHA256 (асимметричный) | OAuth 2.0, публичные API |
| ES256 | ECDSA-SHA256 (асимметричный) | Мобильные приложения, IoT |
Безопасность JWT
- Декодирование ≠ верификация — наш инструмент декодирует JWT без проверки подписи. Для production-верификации нужен секретный ключ на стороне сервера
- Не храните секреты в payload — payload только Base64-кодирован, не зашифрован. Любой может декодировать его без ключа
- Устанавливайте короткий exp — access token: 15–60 минут, refresh token: 7–30 дней
- Алгоритм «none» — никогда не принимайте JWT с alg:none
Часто задаваемые вопросы
Чем JWT отличается от сессионных cookie?
Сессии хранятся на сервере, JWT — на клиенте (localStorage или httpOnly cookie). JWT не требует состояния на сервере (stateless), что удобно для микросервисов и горизонтального масштабирования.
Можно ли редактировать JWT?
Payload можно изменить, но тогда подпись станет недействительной и сервер отклонит токен.
Безопасно ли вставлять JWT в этот инструмент?
Декодирование происходит в браузере — токен не отправляется на сервер. Но для production-токенов с чувствительными данными используйте с осторожностью.
Что делать, если токен истёк?
Используйте refresh token для получения нового access token. Истёкший токен определяется по claim exp — наш декодер показывает это в сводке.
Для кодирования данных в Base64 используйте Base64 кодер, для хеширования — Hash генератор.
Полезные статьи
WCAG контрастность: доступность цветов в веб-дизайне
Как проверить контрастность цветов по стандарту WCAG 2.1. Уровни AA и AAA, формула расчёта, рекомендации.
CSS Border Radius: скругление углов элементов
Как использовать border-radius: синтаксис, сокращённая запись, эллиптические углы. Генератор border-radius онлайн.