Декодер JWT

Декодуйте JSON Web Token локально, переглядайте JSON заголовка й payload, читайте поширені поля (claims) та дивіться підказки щодо часових міток — при цьому декодування не слід вважати верифікацією.

Усе декодування JWT відбувається локально у вашому браузері. Токени не надсилаються на сервери Decode It.

Лише декодування

Декодує заголовок і payload локально. Не перевіряє підписи і не доводить, що токен є надійним.

Не вставляйте секрети підпису, приватні ключі або продукційні токени, які ви не маєте права перевіряти.

Швидкі приклади

Вставте JWT, щоб декодувати його заголовок, payload, часові поля та сирі сегменти.

Що показує декодер JWT

JSON Web Token, або JWT, — це компактний формат токена, який часто використовується в автентифікації, авторизації, сесіях API та потоках ідентифікації. JWT зазвичай має три частини, розділені крапками: header, payload і signature. header і payload — це base64url-кодований JSON, тобто їх можна декодувати та прочитати без секретного ключа.

Цей декодер JWT орієнтований на інспекцію. Він форматирує header і payload, витягує типові claims, показує сирі сегменти й пояснює часові claims, такі як iat, nbf, та exp. Це корисно під час налагодження потоків входу, API‑викликів, тестових середовищ, інтеграцій OAuth або питань тривалості життя токена.

  • Читати алгоритм токена та тип із header.
  • Інспектувати iss, sub, aud та власні claims у payload.
  • Перетворювати NumericDate‑claims у зручні для читання дати.
  • Копіювати декодований header, декодований payload або сирі сегменти токена.

Декодування — не те саме, що перевірка

Декодування JWT показує, що написано в токені. Воно не доводить, хто його створив, чи було змінено payload, чи підпис відповідає, або чи має ваша програма приймати його. Перевірка підпису вимагає правильного секрету, відкритого ключа або конфігурації JWKS і має відповідати алгоритму, очікуваному програмою.

Частина signature відрізняється від header і payload. Це криптографічне значення над закодованими header і payload, а не ще один JSON‑об’єкт для декодування. Ця сторінка показує signature у виводі сирих сегментів, коли він існує, але не запитує ключі для підпису та не перевіряє значення.

Сприймайте цю сторінку як інспектор, а не як авторитет. Декодований токен все ще може бути підробленим, простроченим, непідписаним, підписаним невідомим ключем або відхиленим службою, яка його видала.

Типові claims JWT

Claim Meaning Типове використання
iss Issuer Служба або постачальник ідентифікації, який видав токен.
sub Subject Користувач, обліковий запис, клієнт або сутність, про яку йде мова в токені.
aud Audience API, застосунок або служба, яка має отримати токен.
iat Час випуску Коли токен було створено.
nbf Не приймати раніше Токен не повинен прийматися до цього часу.
exp Час закінчення терміну дії Токен не повинен прийматися після цього часу.

Безпечні звички при налагодженні

  • За можливості використовуйте тестові токени замість продакшн‑токенів користувачів.
  • Не вставляйте секрети для підпису, приватні ключі або облікові дані API у декодер.
  • Перевірте, чи алгоритм відповідає очікуваному в вашій програмі.
  • Compare iss and aud порівнюйте iss і aud із службою, яку ви налагоджуєте.
  • Пам’ятайте, що час у браузері і час на сервері можуть відрізнятися при налагодженні проблем з терміном дії.

Пов’язані локальні інструменти

  • Використовуйте Base64 Encoder Decoder коли потрібно перевірити звичайні base64-рядки. JWT використовують base64url, тому цей декодер JWT є більш безпечним варіантом для повних токенів.
  • Використовуйте JSON Beautifier коли хочете відформатувати скопійовані об’єкти payload поза контекстом токена.
  • Використовуйте Unix Timestamp Converter коли потрібно окремо перевірити мітку часу для NumericDate‑значень, таких як iat, nbf, або exp.

Поширені запитання

Чи перевіряє цей декодер JWT підписи?

Ні. Він декодує header і payload, щоб ви могли їх перевірити, але не перевіряє підпис і не доводить, що токен є довіреним. Перевірка вимагає секрету видавця, відкритого ключа або конфігурації JWKS. Signature не показується у вигляді декодованої JSON‑панелі, оскільки це криптографічне значення, а не читаємі дані claims; цей інструмент показує його лише в виводі сирих сегментів.

Чи може будь-хто декодувати JWT?

Так, header і payload кодуються, але не шифруються, якщо ваша система не використовує окремий формат зашифрованого токена. Не кладіть секрети в payload JWT.

Що означає прострочений JWT?

Якщо exp claim має значення в минулому, сервер зазвичай має відхилити токен. Ця сторінка може показати мітку часу, але сервер є остаточним авторитетом.

Чому інструмент приймає префікс Bearer?

Розробники часто копіюють токени з заголовка Authorization: Bearer .... Інструмент видаляє цей префікс перед декодуванням тіла токена. Authorization: Bearer ... Інструмент видаляє префікс перед декодуванням тіла токена.