JWT декодер
Декодирайте и инспектирайте JWT токени мигновено. Преглед на заглавие, полезен товар и статус на изтичане. 100% от страна на клиента, вашите токени никога не напускат вашия браузър.
Заглавие
Полезен товар
Подпис
⚠ Подписът се показва само за справка, не е верифициран.
Справочник
JSON Web Tokens (JWT)
JWT (JSON Web Token) е компактен, URL-безопасен формат на токен, дефиниран в RFC 7519. Състои се от три base64url-кодирани части, разделени с точки: header.payload.signature. JWT се използват широко за автентикация и обмен на информация между страни.
Структура
Заглавие — JSON обект, съдържащ типа на токена (typ) и алгоритъма за подписване (alg), напр. HS256 или RS256. Полезен товар — JSON обект, съдържащ претенции: регистрирани претенции като iss (издател), sub (субект), exp (време на изтичане), iat (издаден на); и персонализирани претенции на приложението. Подпис — резултатът от подписването на кодираното заглавие и полезен товар с тайна или частен ключ. Гарантира, че токенът не е бил подправен.
⚠ Бележка за сигурност
Декодирането не е същото като верифицирането. Този инструмент декодира токена и показва съдържанието му, но не верифицира подписа. Всеки може да създаде JWT с произволни претенции. Никога не се доверявайте на JWT претенции, без да верифицирате подписа от страна на сървъра, използвайки подходящия таен или публичен ключ. Използвайте библиотека като jsonwebtoken (Node.js) или PyJWT (Python) в продукция.
Регистрирани JWT claims
RFC 7519 дефинира седем регистрирани claims: iss (издател) — кой е създал токена. sub (субект) — потребителят или обектът, който токенът представлява. aud (аудитория) — предвиденият получател(и). exp (време на изтичане) — Unix timestamp, след който токенът е невалиден. nbf (не преди) — токенът не е валиден преди това време. iat (издаден на) — кога е създаден токенът. jti (JWT ID) — уникален идентификатор за предотвратяване на replay атаки.
Поверителност
Цялото декодиране работи 100% във вашия браузър. Никакви данни не се изпращат към сървър.