IT, веб и разработка
JWT кодер и декодер онлайн
Декодируйте JWT на header, payload и signature, проверяйте HS256-подпись и создавайте тестовые JWT-токены прямо в браузере.
JWT token
Вставьте токен в формате header.payload.signature
Проверка работает для токенов с алгоритмом HS256. Для RS256/ES256 нужен публичный ключ, это можно добавить позже отдельным блоком.
Decoded header
Decoded payload
Signature
Header JSON
Обычно содержит alg и typ
Payload JSON
Claims и данные токена
Generated JWT
Что такое JWT?
JWT, или JSON Web Token, — это компактный формат токена, который часто используют для авторизации, обмена данными между клиентом и сервером, API-доступа и OAuth/OpenID Connect сценариев.
JWT состоит из трёх частей: header, payload
и signature. Header описывает тип токена и алгоритм подписи,
payload содержит claims, а signature помогает проверить, что header и payload
не были изменены.
Как это работает
Структура JWT-токена
Header
Первая часть токена. Обычно содержит alg, например
HS256, и typ со значением JWT.
Payload
Вторая часть токена. Здесь находятся claims: идентификатор пользователя, срок действия, роли, issuer, audience и другие данные.
Signature
Третья часть токена. Подпись нужна, чтобы проверить, что token не был подделан или изменён после создания.
FAQ
Частые вопросы о JWT
Можно ли доверять JWT после простого декодирования?
Нет. Декодирование только показывает header и payload. Чтобы доверять JWT, нужно проверить подпись, срок действия, issuer, audience и другие условия на стороне backend.
Почему payload видно без пароля?
JWT обычно не шифруется, а кодируется в Base64URL. Это значит, что данные можно прочитать без secret. Поэтому в payload нельзя хранить пароли, приватные ключи и другую чувствительную информацию.
Что означает exp?
exp — это время истечения токена в Unix timestamp.
После этого момента backend должен считать токен недействительным.
Чем HS256 отличается от RS256?
HS256 использует один общий secret для создания и проверки подписи. RS256 использует приватный ключ для подписи и публичный ключ для проверки. Для публичных API чаще используют RS256 или похожие асимметричные алгоритмы.
Можно ли использовать alg none?
Для реальной авторизации — нет. Алгоритм none означает отсутствие
подписи. Его можно использовать только для обучения и тестовых примеров.