Робоча зона інструмента
JWT decoder і JSON Web Token parser онлайн
Декодуйте header, payload і метадані JSON Web Token у браузері.
JWT decoder
JWT decoder
байтів →
JWT decoder
Параметри запиту
IDN / Punycode
JWT decoder
..
Заголовок
Payload
Метадані
· Спливає:
Перевірити підпис
Підписати (HS)
JWT decoder
Бібліотека патернів
Підсвічені збіги
Збіги ()
Результат заміни
JWT decoder
Відносно:
Часовий пояс
Зібрати з частин
Різниця
JWT decoder
JWT decoder
JWT decoder
Приклади
Токен
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkRldlRvb2xHcmlkIn0.sig
Декодований payload
{
"sub": "1234567890",
"name": "DevToolGrid"
}
JWT Гайди та статті
Як працює JWT і чому його вміст не є секретним
JWT переносить набір claims у компактному підписаному повідомленні. Довіру створює перевірений підпис і політика валідації, а не незрозумілий вигляд токена.
Читати статтюТипові помилки безпеки JWT і способи їх уникнути
Більшість проблем JWT виникає через поблажливу перевірку, витік bearer token, слабкий життєвий цикл і надмірну довіру до claims.
Читати статтюJWT чи серверна сесія: як вибрати модель автентифікації
JWT і сесії вирішують схожі задачі, але по-різному працюють із revocation, масштабуванням, приватністю та операційною складністю.
Читати статтюJWT decoder
Декодуйте header, payload і метадані JSON Web Token у браузері. DevToolGrid Online — це безкоштовний JWT decoder і JSON Web Token parser онлайн.
Що таке JWT?
JWT (JSON Web Token) — це компактний URL-safe токен для автентифікації та авторизації. Він складається з трьох частин Base64URL, розділених крапками: заголовок (алгоритм підпису), корисне навантаження (claims, як-от ідентифікатор користувача та термін дії) і підпис, що захищає перші дві частини від підробки. Заголовок і payload лише закодовані, а не зашифровані.
Як декодувати й перевірити JWT
- 1 Вставте токен у поле вводу — заголовок і payload декодуються миттєво.
- 2 Перегляньте claims і людиночитний статус exp (термін) та nbf (не раніше).
- 3 Для перевірки вставте секрет для HS256/384/512 або публічний ключ для RS/ES.
- 4 За потреби підпишіть новий HS-токен із заголовка, payload і секрету.
Типові помилки з JWT
- Секрети в payloadPayload лише закодований Base64 і читабельний для будь-кого. Ніколи не зберігайте в ньому паролі чи чутливі дані.
- Неперевірений підписДекодування токена не доводить його справжність. Завжди перевіряйте підпис на сервері.
- Ігнорування терміну діїТокен після часу exp слід відхиляти, навіть якщо підпис дійсний.
Декодування проти перевірки JWT
Декодування лише читає заголовок і payload — це може зробити будь-хто, бо ці частини не зашифровані. Перевірка звіряє підпис із секретом або публічним ключем, щоб підтвердити, що токен видано довіреною стороною й не змінено. Цей інструмент декодує будь-який токен і перевіряє підписи HS, RS, ES та PS у браузері.
Часті запитання
Інструмент безкоштовний?
Так. Декодер і верифікатор JWT повністю безкоштовні, без реєстрації.
Чи надсилається токен на сервер?
Ні. Декодування, перевірка та підпис відбуваються локально у браузері, тож токени не залишають пристрій.
Чи справді перевіряється підпис?
Так. Вкажіть секрет або публічний ключ, і інструмент перевірить підпис через Web Crypto API.
Чи безпечно вставляти бойовий токен?
Оскільки все працює локально, токен не передається. Та все ж поводьтеся з робочими токенами обережно й віддавайте перевагу тестовим.