Заголовок (Header)
Содержит метаданные токена: алгоритм подписи (alg) и тип токена (typ). Закодировано в Base64URL.
Декодер JWT
Декодируйте JSON Web Tokens (JWT) для просмотра заголовка и полезной нагрузки без проверки подписи. Визуализируйте структуру токена, анализируйте утверждения (claims), проверяйте время истечения срока действия и легко отлаживайте проблемы с аутентификацией. 100% клиентская обработка для обеспечения конфиденциальности.
Декодер JWT
🚀 Попробуйте примеры JWT:
📐 Анатомия структуры JWT
Полезная нагрузка (Payload)
Содержит утверждения (данные пользователя, разрешения, срок действия). Также Base64URL. Не зашифровано!
Подпись (Signature)
Криптографический хеш заголовка + полезной нагрузки + секретного ключа. Используется для проверки целостности.
Поддержите MiniWebtool
Ваш блокировщик рекламы мешает показывать объявления
MiniWebtool бесплатен благодаря рекламе. Если этот инструмент помог, поддержите нас через Premium (без рекламы + быстрее) или добавьте MiniWebtool.com в исключения и обновите страницу.
- Или перейдите на Premium (без рекламы)
- Разрешите показ рекламы на MiniWebtool.com, затем перезагрузите страницу.
О Декодер JWT
Добро пожаловать в Декодер JWT — мощный онлайн-инструмент для разработчиков, позволяющий мгновенно декодировать и проверять JSON Web Tokens (JWT). Если вы отлаживаете проблемы с аутентификацией, проверяете содержимое токена или изучаете структуру JWT, этот инструмент обеспечит четкую цветовую визуализацию всех компонентов без отправки данных на внешние серверы.
Что такое JSON Web Token (JWT)?
JSON Web Token (JWT) — это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON. JWT широко используются для:
- Аутентификации: После входа пользователя каждый последующий запрос включает JWT, что позволяет получить доступ к маршрутам, сервисам и ресурсам, разрешенным для этого токена.
- Обмена информацией: JWT могут безопасно передавать информацию, так как они могут быть подписаны с использованием секретных ключей (HMAC) или пар открытых/закрытых ключей (RSA, ECDSA).
- Авторизации: Серверы могут проверять утверждения токена, чтобы определить права доступа пользователя без обращения к базе данных при каждом запросе.
Структура JWT
JWT состоит из трех частей, разделенных точками (.):
1. Заголовок (Красный)
Заголовок обычно содержит две части информации:
alg: Используемый алгоритм подписи (например, HS256, RS256, ES256)typ: Тип токена, который всегда равен "JWT"
2. Полезная нагрузка (Фиолетовый)
Полезная нагрузка содержит утверждения (claims) — сведения о пользователе и дополнительные метаданные. Существует три типа утверждений:
- Зарегистрированные поля: Предопределенные поля, такие как
iss(издатель),exp(истечение),sub(субъект),aud(аудитория) - Публичные поля: Пользовательские поля, зарегистрированные в реестре IANA JSON Web Token или определенные как URI
- Приватные поля: Пользовательские поля, согласованные между сторонами (например,
user_id,role)
3. Подпись (Синий)
Подпись создается путем объединения закодированного заголовка, закодированной полезной нагрузки, секретного ключа и алгоритма, указанного в заголовке. Она гарантирует, что токен не был изменен.
Справочник стандартных полей JWT
| Поле | Название | Описание |
|---|---|---|
iss |
Издатель (Issuer) | Идентифицирует того, кто выпустил JWT (например, URL вашего сервера) |
sub |
Субъект (Subject) | Идентифицирует субъекта JWT (обычно ID пользователя или email) |
aud |
Аудитория (Audience) | Идентифицирует получателей, для которых предназначен JWT |
exp |
Время истечения | Метка времени Unix, после которой JWT становится недействительным |
nbf |
Не раньше (Not Before) | Метка времени Unix, до которой JWT не является действительным |
iat |
Выпущено в (Issued At) | Метка времени Unix, указывающая, когда был выпущен JWT |
jti |
JWT ID | Уникальный идентификатор JWT (полезен для предотвращения атак повторного воспроизведения) |
Алгоритмы подписи JWT
Симметричные алгоритмы (HMAC)
HS256: HMAC с использованием SHA-256 — один и тот же секретный ключ для подписи и проверкиHS384: HMAC с использованием SHA-384HS512: HMAC с использованием SHA-512
Асимметричные алгоритмы (RSA/ECDSA)
RS256: Подпись RSA с SHA-256 — закрытый ключ подписывает, открытый — проверяетRS384: Подпись RSA с SHA-384RS512: Подпись RSA с SHA-512ES256: ECDSA с использованием кривой P-256 и SHA-256ES384: ECDSA с использованием кривой P-384 и SHA-384ES512: ECDSA с использованием кривой P-521 и SHA-512
Соображения безопасности
Декодирование против Проверки
Важно: Этот инструмент декодирует JWT, но не проверяет их. Декодирование просто показывает содержимое в формате Base64URL, в то время как проверка требует секретного ключа для подтверждения подписи. Никогда не доверяйте декодированным данным без серверной проверки подписи.
Лучшие практики
- Всегда проверяйте подписи на стороне сервера, прежде чем доверять любым утверждениям
- Используйте короткое время жизни (
exp) — обычно от 15 минут до 1 часа для токенов доступа - Не храните конфиденциальные данные в полезной нагрузке — они закодированы, а не зашифрованы
- Используйте HTTPS для предотвращения перехвата токена при передаче
- Проверяйте поле аудитории (
aud), чтобы предотвратить нецелевое использование токена - Используйте асимметричные алгоритмы (RS256, ES256) в распределенных системах, где несколько сервисов должны проверять токены
Конфиденциальность и безопасность
Этот Декодер JWT работает полностью в вашем браузере:
- Нет передачи на сервер: Ваш JWT никогда не отправляется на какой-либо сервер
- Обработка на стороне клиента: Все декодирование происходит через JavaScript в вашем браузере
- Нет хранения данных: Мы не храним, не записываем и не отслеживаем ваши токены
- Открытая логика: Вы можете проверить логику декодирования в инструментах разработчика вашего браузера
Часто задаваемые вопросы
Что такое JWT (JSON Web Token)?
JSON Web Token (JWT) — это открытый стандарт (RFC 7519) для безопасной передачи информации между сторонами в виде объекта JSON. JWT обычно используются для аутентификации и авторизации в веб-приложениях. JWT состоит из трех частей: Заголовок (алгоритм и тип токена), Полезная нагрузка (данные) и Подпись (проверка).
Безопасно ли декодировать JWT в браузере?
Да, декодирование JWT в браузере безопасно, так как заголовок и полезная нагрузка просто закодированы в формате Base64URL, а не зашифрованы. Однако декодирование НЕ проверяет подпись. Этот инструмент работает локально в вашем браузере.
Что означают разные части JWT?
JWT состоит из трех частей, разделенных точками: 1) Заголовок — содержит алгоритм и тип токена. 2) Полезная нагрузка — содержит утверждения (данные о пользователе и метаданные). 3) Подпись — используется для проверки целостности токена.
Почему я не могу проверить подпись этим инструментом?
Проверка подписи требует доступа к секретному или открытому ключу. Поскольку инструмент работает в браузере для вашей приватности, у него нет доступа к ключам вашего сервера. Используйте серверные библиотеки для полноценной валидации.
Какие бывают стандартные поля (claims) JWT?
К стандартным полям относятся iss, sub, aud, exp, nbf, iat и jti. Пользовательские поля могут содержать любую специфичную для приложения информацию.
Дополнительные ресурсы
Ссылайтесь на этот контент, страницу или инструмент так:
"Декодер JWT" на сайте https://ru.miniWebtool.com// от MiniWebtool, https://MiniWebtool.com/
от команды miniwebtool. Обновлено: 3 фев. 2026 г.