JWT декодер

Справка

JSON Web Tokens (JWT)

JWT (JSON Web Token) — это компактный, URL-безопасный формат токена, определённый в RFC 7519. Он состоит из трёх частей, закодированных в base64url и разделённых точками: заголовок.полезная_нагрузка.подпись. JWT широко используются для аутентификации и обмена информацией между сторонами.

Структура

Заголовок — JSON-объект с типом токена (typ) и алгоритмом подписи (alg), напр. HS256 или RS256. Полезная нагрузка — JSON-объект с утверждениями: зарегистрированные утверждения, такие как iss (издатель), sub (субъект), exp (время истечения), iat (время выпуска); и пользовательские утверждения приложения. Подпись — результат подписания закодированных заголовка и полезной нагрузки секретом или закрытым ключом. Она гарантирует, что токен не был изменён.

⚠ Примечание по безопасности

Декодирование — это не то же самое, что проверка. Этот инструмент декодирует токен и отображает его содержимое, но не проверяет подпись. Любой может создать JWT с произвольными утверждениями. Никогда не доверяйте утверждениям JWT без проверки подписи на стороне сервера с использованием соответствующего секрета или открытого ключа. В продакшене используйте библиотеку jsonwebtoken (Node.js) или PyJWT (Python).

Зарегистрированные утверждения JWT

RFC 7519 определяет семь зарегистрированных утверждений: iss (issuer) — кто создал токен. sub (subject) — пользователь или сущность, которую представляет токен. aud (audience) — предполагаемый получатель(и). exp (expiration time) — Unix-метка времени, после которой токен недействителен. nbf (not before) — токен недействителен до этого времени. iat (issued at) — когда токен был создан. jti (JWT ID) — уникальный идентификатор для предотвращения атак воспроизведения.

Конфиденциальность

Всё декодирование выполняется 100% в вашем браузере. Никакие данные не отправляются на сервер.