AG
JWT
DECODER
Декодер
Алгоритмы
Утверждения
Гайды
О сервисе
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
Декодер
/
Гайды
/
Чек-лист безопасности JWT
Гайд
Чек-лист безопасности JWT
Короткий список ключевых принципов безопасного использования JWT.
Отклоняйте alg=none и неожиданные алгоритмы; разрешайте только ожидаемый алгоритм.
Полезная нагрузка не зашифрована, поэтому никогда не помещайте туда пароли, персональные данные и другие секреты.
Держите время жизни коротким с помощью exp и управляйте окном действия и повторным использованием через nbf и jti.
При проверке подписи также убеждайтесь, что iss и aud совпадают с ожидаемыми значениями.
Секреты должны быть длинными и случайными и никогда не должны раскрываться клиенту.
Попробуйте декодировать токен сами
Просто вставьте — заголовок, полезная нагрузка и утверждения раскроются мгновенно.
Открыть декодер
Связанные
Что такое JWT
JWT (JSON Web Token) — это небольшой подписанный формат JSON-токена для безопасной передачи информации между сторонами.
Трёхчастная структура JWT
Каждый JWT состоит из header.payload.signature, и каждая часть закодирована в base64url.
JWT против сессионной аутентификации
Разница между аутентификацией по токену (JWT) и по серверной сессии (cookie) и когда что использовать.
Частые ошибки JWT и их решение
Самые частые ошибки при работе с JWT, их причины и способы устранения.
Токены доступа и токены обновления
Роль короткоживущего токена доступа и токена обновления, который его продлевает.