JWT Токен
Вставьте JWT токен для немедленного декодирования.
Вставьте JWT токен для немедленного декодирования.
Об этом инструменте
Декодирование JWT (JSON Web Token) — это то, что я делаю почти ежедневно при отладке проблем аутентификации, проверке API токенов или устранении неполадок интеграции SSO. Когда пользователь сообщает об ошибках «доступ запрещен», первое, что я делаю, — это декодирую их JWT, чтобы проверить время истечения, роли и утверждения. Этот инструмент мгновенно декодирует JWT без отправки токенов на какой-либо сервер — критически важно при работе с производственными токенами доступа или учетными данными клиентов. Он разбивает токен на три части (заголовок, полезная нагрузка, подпись), декодирует первые две в Base64 и отображает содержимое JSON в читаемом формате. Подпись показывается, но не проверяется — это инструмент проверки, а не валидатор. Идеально подходит для разработчиков, интегрирующих OAuth2, отладки токенов Auth0/Cognito или понимания того, как работает аутентификация на основе JWT. ### Структура JWT JWT содержит 3 части, разделенные точками (.): - **Заголовок** - Содержит тип токена и алгоритм подписи (например, HS256, RS256) - **Полезная нагрузка (утверждения)** - Содержит фактические данные и утверждения - **Подпись** - Проверяет, что токен не был изменен Декодер помогает разработчикам быстро просматривать содержимое полезной нагрузки для целей отладки, таких как просмотр ролей/разрешений, проверка истечения токена, проверка информации об эмитенте, проверка области API и проверка структуры токена во время реализации аутентификации. ### Примеры использования **1. Отладка токенов от провайдеров аутентификации** - Firebase Auth - Auth0 - AWS Cognito - Supabase - Keycloak **2. Разработка фронтенда** Проверить: - Существует ли утверждение role=admin? - Истек ли токен, когда пользователи жалуются? - Правильна ли структура токена? **3. Разработка бэкенда** Проверить полезную нагрузку перед написанием проверки на бэкенде. **4. QA / Тестирование** Проверить токены API во время тестирования API. **5. Обзор безопасности (быстрая проверка)** Проверить алгоритм подписи (alg) на безопасность: - HS256, RS256, ES256 → ✓ Безопасно - NONE → ⚠️ Небезопасно **6. Отладка OAuth 2.0 / OpenID Connect** Просмотр: - `iss` - Эмитент - `aud` - Аудитория - `exp` - Истечение - `nonce` - Предотвращение атак повтора - `azp` - Авторизованная сторона
Как использовать
Вставьте токен JWT (формат: xxxxx.yyyyy.zzzzz) в поле ввода. Инструмент автоматически разделяет его на разделы заголовка, полезной нагрузки и подписи. Заголовок показывает алгоритм (HS256, RS256 и т. д.) и тип токена. Полезная нагрузка отображает утверждения, такие как идентификатор пользователя (sub), истечение (exp), время выдачи (iat), эмитент (iss) и пользовательские утверждения, добавленные вашим приложением. Время истечения — это временная метка Unix — инструмент может преобразовать ее в читаемые даты. Используйте это, когда API возвращают ошибки 401, чтобы проверить, истек ли токен, при отладке авторизации, чтобы проверить наличие утверждений роли/разрешения, или при изучении структуры JWT. ### Как использовать 1. Скопируйте свой токен JWT 2. Вставьте его в поле ввода 3. Инструмент автоматически разделяет заголовок, полезную нагрузку и подпись 4. Просмотрите декодированный результат: JSON + разбивка утверждений 5. При необходимости используйте кнопки копирования/экспорта
Распространённые случаи использования
Отладка ошибок аутентификации
Пользователь получает ошибку 401; декодируйте их токен, чтобы проверить, прошла ли временная метка exp (истечение) — токены обычно истекают через 15-60 минут.
Проверка утверждений
Декодируйте токен доступа, чтобы подтвердить наличие необходимых утверждений (роли, разрешения, подтвержденная электронная почта) перед расследованием других проблем.
Отладка мультитенантности
Проверьте утверждения tenant_id или organization_id в токене, чтобы убедиться, что пользователь получает доступ к правильным ресурсам арендатора.
Сравнение токенов
Декодируйте токены из разных сред (dev/staging/production), чтобы сравнить различия в утверждениях.
Изучение OAuth2/OpenID
Вставьте примеры токенов из Auth0, Cognito или Keycloak, чтобы понять структуру и стандартные утверждения, такие как aud (аудитория) и scope.
Ограничения и важные примечания
⚠️ **Важно**: Этот инструмент только декодирует токены, он НЕ проверяет подписи! Этот инструмент ТОЛЬКО декодирует JWT — он НЕ проверяет подписи и не валидирует токены. Декодированный токен, показывающий действительные утверждения, не означает, что токен подлинный; злоумышленники могут создавать токены с ложными утверждениями. Всегда проверяйте подписи на стороне сервера, используя свой секретный ключ или открытый ключ (для RS256). Инструмент работает со стандартными форматами JWT (header.payload.signature в кодировке Base64URL). Он не обрабатывает зашифрованные JWT (JWE) или вложенные токены. Если ваш токен включает двоичные данные или нестандартную кодировку, декодирование может не удастся. Для автоматической проверки токенов в коде используйте правильные библиотеки JWT, такие как jsonwebtoken (Node.js), PyJWT (Python) или jose4j (Java). Примечание по безопасности: не вставляйте конфиденциальные производственные токены в онлайн-инструменты, которым вы не доверяете — этот инструмент работает на стороне клиента, но всегда проверяйте на вкладке «Сеть» DevTools, что ничего не загружается.