IT, веб и разработка

JWT кодер и декодер онлайн

Декодируйте JWT на header, payload и signature, проверяйте HS256-подпись и создавайте тестовые JWT-токены прямо в браузере.

Обработка JWT выполняется в браузере. Токен, payload и secret не отправляются на сервер.
JWT
JWT Decode / Encode Header · Payload · Signature · HS256

JWT token

Вставьте токен в формате header.payload.signature

Проверка работает для токенов с алгоритмом HS256. Для RS256/ES256 нужен публичный ключ, это можно добавить позже отдельным блоком.

Decoded header


                        

Decoded payload


                        

Signature


                        

Информация о claims

Вставьте JWT и нажмите “Декодировать”.

Header JSON

Обычно содержит alg и typ

Payload JSON

Claims и данные токена

Generated JWT

Заполните header и payload, затем создайте JWT.

Что такое JWT?

JWT, или JSON Web Token, — это компактный формат токена, который часто используют для авторизации, обмена данными между клиентом и сервером, API-доступа и OAuth/OpenID Connect сценариев.

JWT состоит из трёх частей: header, payload и signature. Header описывает тип токена и алгоритм подписи, payload содержит claims, а signature помогает проверить, что header и payload не были изменены.

Структура JWT-токена

1

Header

Первая часть токена. Обычно содержит alg, например HS256, и typ со значением JWT.

2

Payload

Вторая часть токена. Здесь находятся claims: идентификатор пользователя, срок действия, роли, issuer, audience и другие данные.

3

Signature

Третья часть токена. Подпись нужна, чтобы проверить, что token не был подделан или изменён после создания.

Частые вопросы о JWT

Можно ли доверять JWT после простого декодирования?

Нет. Декодирование только показывает header и payload. Чтобы доверять JWT, нужно проверить подпись, срок действия, issuer, audience и другие условия на стороне backend.

Почему payload видно без пароля?

JWT обычно не шифруется, а кодируется в Base64URL. Это значит, что данные можно прочитать без secret. Поэтому в payload нельзя хранить пароли, приватные ключи и другую чувствительную информацию.

Что означает exp?

exp — это время истечения токена в Unix timestamp. После этого момента backend должен считать токен недействительным.

Чем HS256 отличается от RS256?

HS256 использует один общий secret для создания и проверки подписи. RS256 использует приватный ключ для подписи и публичный ключ для проверки. Для публичных API чаще используют RS256 или похожие асимметричные алгоритмы.

Можно ли использовать alg none?

Для реальной авторизации — нет. Алгоритм none означает отсутствие подписи. Его можно использовать только для обучения и тестовых примеров.