CiphersOnline
Шифрование онлайн
Кодирование
JWT-декодер

JWT-декодер онлайн

Декодируйте и проверяйте JWT и Bearer-токены прямо в браузере. Просматривайте header, payload, claims, время истечения и структуру токена для отладки авторизации, OAuth-потоков и API-интеграций.

Входные данные
0 симв. · 0 байт
Попробовать:
Результат
✓ Декодирование токена без проверки подписи ✓ Просмотр заголовка и полезной нагрузки ✓ Ключ не требуется для чтения содержимого ✓ Обработка выполняется локально в браузере
Примеры
Декодировать базовый JWT
Вход eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6ItCY0LLQsNC9INCY0LLQsNC90L7QsiIsImlhdCI6MTUxNjIzOTAyMn0.signature
Выход Header: { "alg": "HS256", "typ": "JWT" } Payload: { "sub": "1234567890", "name": "Иван Иванов", "iat": 1516239022 }

Просмотрите header и payload JWT без проверки подписи.

Декодировать Bearer-токен
Вход Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcGkuZXhhbXBsZS5jb20iLCJhdWQiOiJteS1hcHAiLCJzY29wZSI6InJlYWQ6dXNlcnMiLCJleHAiOjE5MjQ5OTIwMDB9.signature
Выход Header: { "alg": "HS256", "typ": "JWT" } Payload: { "iss": "api.example.com", "aud": "my-app", "scope": "read:users", "exp": 1924992000 }

Префикс Bearer часто встречается в заголовках Authorization; перед просмотром JWT его можно удалить.

Проверить claim истечения
Вход eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyXzQyIiwiZXhwIjoxOTI0OTkyMDAwLCJpYXQiOjE3MTcyMDAwMDAsInJvbGUiOiJhZG1pbiJ9.signature
Выход Header: { "alg": "RS256", "typ": "JWT" } Payload: { "sub": "user_42", "exp": 1924992000, "iat": 1717200000, "role": "admin" }

Claims exp и iat являются Unix timestamp и помогают отлаживать истекшие или еще не действующие токены.

Создать payload JWT
Вход {"sub":"user_42","role":"admin","exp":1924992000}
Выход eyJzdWIiOiJ1c2VyXzQyIiwicm9sZSI6ImFkbWluIiwiZXhwIjoxOTI0OTkyMDAwfQ

Закодируйте JSON payload в сегмент JWT payload формата Base64URL. Это помогает понять, как claims представлены до подписания.

Как работает JWT-декодер

JSON Web Token (JWT) обычно состоит из трех частей: Header, Payload и Signature. Эти части разделены точками и закодированы в формате Base64URL.

Декодер читает токен, декодирует header и payload и показывает JSON-данные в удобном виде. Это помогает проверять claims: issuer, subject, audience, время выпуска, время истечения, scopes, roles и пользовательские поля приложения.

Этот декодер не выполняет проверку подписи. Декодирование показывает содержимое токена, но не доказывает, что токен действителен, доверен или не был изменен.

JWT, Base64URL и безопасность

Разделы header и payload в JWT закодированы, а не зашифрованы. Любой, у кого есть токен, может декодировать эти части и прочитать их содержимое. Поэтому чувствительные секреты не следует помещать в payload JWT, если токен не зашифрован отдельным механизмом.

Раздел signature используется для обнаружения подмены. Сервер может проверить подпись с помощью секретного ключа или пары публичного и приватного ключей, в зависимости от алгоритма. Этот инструмент предназначен для просмотра и отладки, а не для криптографической валидации.

Типичные задачи отладки JWT

Декодирование JWT часто используют при отладке аутентификации, OAuth, OpenID Connect, API-авторизации, access tokens, refresh tokens и Bearer-токенов из заголовков Authorization.

Разработчики проверяют JWT, чтобы увидеть timestamp истечения, issuer, audience, scopes, roles, permissions, идентификаторы пользователей и неожиданные значения claims во время проблем со входом или интеграцией API.

JWT Decode и JWT Verify

Декодирование JWT только делает header и payload читаемыми. Оно не проверяет, является ли токен действительным, не истек ли он, можно ли ему доверять и корректно ли он подписан.

Проверка JWT требует валидации подписи, алгоритма, issuer, audience, времени истечения и других правил, которые использует ваше приложение. Этот декодер помогает изучить содержимое токена, а полная валидация должна выполняться вашей системой аутентификации.

FAQ

JWT (JSON Web Token) — компактный самодостаточный формат токена для аутентификации и безопасного обмена данными. Он широко используется в OAuth, OpenID Connect и как Bearer-токен в заголовках Authorization.

Нет. Инструмент только декодирует и показывает структуру токена: header, payload и claims. Проверка подписи и валидация токена не выполняются.

Да. Декодирование просто преобразует данные Base64URL в читаемый JSON.

Да. Истекшие токены по-прежнему можно декодировать и просматривать — это полезно при отладке авторизации и разборе проблем с access token.

Нет. Все декодирование выполняется локально в вашем браузере. Ваши токены не покидают устройство.

Payload в JWT кодируется через Base64URL, а не шифруется. Он рассчитан на чтение; конфиденциальность обеспечивает транспортный уровень (HTTPS), а не кодирование.

Signature позволяет серверу проверить, что токен не был изменен. Она вычисляется по header и payload с использованием секретного ключа или приватного ключа (RS256, HS256 и т. д.).

Обычно нет. Стандартный JWT кодируется и подписывается, но не шифруется. Header и payload может декодировать любой, у кого есть токен.

Claim exp хранит время истечения токена в виде Unix timestamp. После этого момента сервер не должен принимать токен.

Bearer-токен — это токен, который отправляют в HTTP-заголовке Authorization. Многие Bearer-токены являются JWT, но термин описывает способ использования токена, а не обязательно его формат.

Нет. Payload JWT обычно читается после декодирования. Не помещайте пароли, API-ключи, приватные токены и другие секреты в обычный payload JWT.
Связанные инструменты

ASCII-конвертер

Преобразуйте ASCII-символы и числовые коды для работы с протоколами и парсерами.

Unicode-конвертер

Преобразуйте текст в Unicode-escape и декодируйте Unicode-escape, HTML-сущности и многоязычный текст.

Все инструменты: Кодирование и преобразование данных →