Декодер AG JWT — это бесплатный инструмент для разработчиков, который мгновенно декодирует JSON Web Tokens (JWT) в браузере и проверяет их подписи — без регистрации и установки.


Вставьте токен, и его три части —заголовок, полезная нагрузка и подпись— декодируются из base64url, выделяются цветом и показываются в виде отформатированного JSON, каждая копируется одним щелчком. Для токенов HMAC (HS256/384/512) введите секрет, чтобы также проверить подпись.


Зарегистрированные утверждения, такие как exp, nbf и iat, раскрываются в читаемое местное и относительное время, а баннер статуса сообщает, истёк ли токен. Также есть справочник алгоритмов и утверждений и концептуальные гайды для более глубокого понимания JWT.


Вся обработка происходит только в вашем браузере, и ни один вставленный токен или секрет не отправляется на сервер и не сохраняется там. Поскольку полезная нагрузка JWT не зашифрована, никогда не помещайте в неё конфиденциальные данные.

Обработка в браузере Мгновенное декодирование Проверка HMAC Полностью бесплатно
Этот инструмент декодирует токен и может проверять подписи HMAC. Полезная нагрузка JWT закодирована в base64url, а не зашифрована, поэтому никогда не помещайте в неё конфиденциальные данные, такие как пароли или ключи API. Вставленные токены и секреты обрабатываются только в вашем браузере и никогда не отправляются на сервер и не сохраняются там.

Отправляется ли вставленный токен или секрет на сервер?

Нет. Декодирование и проверка HMAC происходят полностью в вашем браузере, и ни один токен или секрет никогда не отправляется на сервер и не сохраняется там.

Какие алгоритмы он может проверять?

Он проверяет семейство HMAC (HS256/384/512) только по вашему секрету, используя Web Crypto браузера. Асимметричным подписям вроде RS, ES, PS и EdDSA нужен открытый ключ, поэтому этот инструмент только декодирует их.

Можно ли помещать в JWT конфиденциальные данные?

Нет. Полезная нагрузка JWT лишь закодирована в base64url, а не зашифрована, поэтому любой может её декодировать. Никогда не храните в ней секреты вроде паролей или ключей API.

Что означают числа вроде exp и iat?

Временные зарегистрированные утверждения — это метки времени Unix в секундах с 1 января 1970 года. Инструмент показывает их в вашем местном времени и как относительное время (например, через 3 дня).