Декодировать JWT Онлайн
Декодируйте и проверяйте JWT-токены прямо в браузере — без отправки данных.
Зачем это нужно
JWT декодирование и проверка в браузере
Три части
Отображает header, payload и информацию о подписи в читаемом JSON.
Полная конфиденциальность
Декодирование в браузере. Токены не передаются на сервер.
Проверка срока
Автоматическое отображение exp, iat, nbf claims с переводом в читаемые даты.
Мгновенно
Декодирование при вставке токена — без кнопок и задержек.
Как это работает
Три шага — никаких сложностей
Вставьте JWT-токен
Вставьте JWT-строку в поле ввода.
Просмотрите содержимое
Заголовок, тело (payload) и информация о подписи отображаются в читаемом формате.
Проверьте срок действия
Инструмент показывает, действителен ли токен, и когда истекает его срок (exp claim).
FAQ
Остались вопросы?
JWT (JSON Web Token) — стандарт RFC 7519 для создания токенов доступа, содержащих JSON-данные. Токен состоит из трёх частей, разделённых точками: header.payload.signature. Header содержит тип токена и алгоритм подписи. Payload — утверждения (claims): информация о пользователе и разрешениях. Signature — криптографическая подпись для проверки подлинности.
Декодирование JWT (base64url декодирование header и payload) — публичная операция: любой может прочитать содержимое токена без ключа. Подпись верифицирует подлинность, но не скрывает содержимое. Инструмент не передаёт данные на сервер, поэтому безопасен для использования с токенами доступа.
Для верификации подписи HMAC-алгоритмов (HS256, HS384, HS512) требуется секретный ключ. Для RSA/ECDSA алгоритмов (RS256, ES256 и др.) достаточно публичного ключа или JWKS URL. Если у вас есть секрет или публичный ключ, инструмент позволяет проверить подпись прямо в браузере.
Зарезервированные claims: iss (issuer, издатель), sub (subject, субъект), aud (audience, аудитория), exp (expiration time, срок истечения), nbf (not before, действителен с), iat (issued at, выдан), jti (JWT ID, уникальный идентификатор). Все они опциональны. Кастомные claims добавляются по необходимости.
Session токены — случайные строки, которые сервер сопоставляет с данными сессии в хранилище. JWT — самодостаточные: сервер верифицирует подпись без обращения к БД, что делает их идеальными для микросервисной архитектуры. Обратная сторона: JWT нельзя инвалидировать до истечения срока без дополнительного механизма (blacklist, короткий TTL).
JWT: RFC 7519, алгоритмы подписи и лучшие практики безопасности
JWT был стандартизирован IETF в RFC 7519 (2015). Смежные стандарты: JWS (JSON Web Signature, RFC 7515) — подписанные JWT, JWE (JSON Web Encryption, RFC 7516) — зашифрованные JWT, JWK (JSON Web Key, RFC 7517) — формат ключей, JOSE (JSON Object Signing and Encryption) — обобщённый фреймворк. OAuth 2.0 и OpenID Connect широко используют JWT для access и id токенов.
Алгоритмы подписи JWT делятся на симметричные (HMAC-SHA: HS256, HS384, HS512 — общий секрет для подписи и верификации) и асимметричные (RSA: RS256, RS384, RS512; ECDSA: ES256, ES384, ES512 — приватный ключ для подписи, публичный для верификации). Асимметричные алгоритмы безопаснее для распределённых систем, где верификацию выполняют несколько сервисов.
Частые уязвимости при работе с JWT: принятие алгоритма 'none' (токен без подписи), уязвимость смешения алгоритмов HS/RS, хранение чувствительных данных в payload (любой может декодировать), слишком длинный TTL без механизма отзыва. OWASP рекомендует: всегда явно указывать разрешённые алгоритмы, использовать короткий TTL для access-токенов (15–60 минут), хранить refresh-токены в httpOnly куки.