Что такое декодер и верификатор JWT?
JSON Web Token — это компактная строка с тремя сегментами base64url: заголовком, полезной нагрузкой и подписью. Этот инструмент декодирует заголовок и полезную нагрузку в вашем браузере, чтобы вы могли изучить структуру токена без отправки его на сервер.
Проверка подписи показывает, был ли токен подписан ожидаемыми вами ключом и алгоритмом. Используйте общий секрет для токенов HS256, HS384 или HS512. Используйте открытый ключ PEM, JWK или JWKS для токенов RS, PS и ES.
Когда использовать
Используйте декодер при отладке потоков аутентификации, проверке claims OAuth или OpenID Connect, сравнении окружений или подтверждении, что backend выдает ожидаемые значения audience, issuer, subject, expiration и key identifier.
Используйте проверку, когда у вас есть соответствующий секрет или открытый ключ и нужно подтвердить, что заголовок, полезная нагрузка и подпись по-прежнему принадлежат друг другу. Инструмент также выделяет exp, nbf и iat, чтобы распространенные проблемы с часами и сроком действия были видны сразу.
Заметки о безопасности
Полезные нагрузки JWT только кодируются, а не шифруются. Любой, у кого есть токен, может прочитать его claims, если только токен не является отдельным зашифрованным JWE, который этот инструмент не обрабатывает.
Не вставляйте production-токены или приватные секреты на общих компьютерах. Инструмент работает локально в вашем браузере и не сохраняет токен или материал для проверки, но самым безопасным рабочим процессом все равно остается использование короткоживущих тестовых токенов и открытых ключей, когда это возможно.