Декодер и верификатор JWT

Декодируйте заголовки и полезные нагрузки JSON Web Token локально, проверяйте зарегистрированные claims и верифицируйте подписи HS, RS, PS и ES с помощью секрета, открытого ключа PEM, JWK или JWKS.

Токен
Вставьте компактный JWT. Заголовок и полезная нагрузка декодируются локально до запуска любой проверки подписи.
Проверка подписи
Проверьте подпись JWS с помощью общего секрета, открытого ключа PEM, JWK или JWKS.
auto

Авто использует значение alg из заголовка JWT. Ручной выбор все равно должен совпадать с заголовком.

Используйте обычный текст для алгоритмов HS. Используйте открытый ключ PEM, JWK или JWKS для алгоритмов RS, PS и ES. Значения не сохраняются.

Заголовок
Отформатированный JSON, декодированный из сегмента токена.
Полезная нагрузка
Отформатированный JSON, декодированный из сегмента токена.
Зарегистрированные claims
Быстрые проверки распространенных claims JWT, связанных со временем.
  • Истекает 2030-01-01T00:00:00.000Z.Действительно

Что такое декодер и верификатор JWT?

JSON Web Token — это компактная строка с тремя сегментами base64url: заголовком, полезной нагрузкой и подписью. Этот инструмент декодирует заголовок и полезную нагрузку в вашем браузере, чтобы вы могли изучить структуру токена без отправки его на сервер.

Проверка подписи показывает, был ли токен подписан ожидаемыми вами ключом и алгоритмом. Используйте общий секрет для токенов HS256, HS384 или HS512. Используйте открытый ключ PEM, JWK или JWKS для токенов RS, PS и ES.

Когда использовать

Используйте декодер при отладке потоков аутентификации, проверке claims OAuth или OpenID Connect, сравнении окружений или подтверждении, что backend выдает ожидаемые значения audience, issuer, subject, expiration и key identifier.

Используйте проверку, когда у вас есть соответствующий секрет или открытый ключ и нужно подтвердить, что заголовок, полезная нагрузка и подпись по-прежнему принадлежат друг другу. Инструмент также выделяет exp, nbf и iat, чтобы распространенные проблемы с часами и сроком действия были видны сразу.

Заметки о безопасности

Полезные нагрузки JWT только кодируются, а не шифруются. Любой, у кого есть токен, может прочитать его claims, если только токен не является отдельным зашифрованным JWE, который этот инструмент не обрабатывает.

Не вставляйте production-токены или приватные секреты на общих компьютерах. Инструмент работает локально в вашем браузере и не сохраняет токен или материал для проверки, но самым безопасным рабочим процессом все равно остается использование короткоживущих тестовых токенов и открытых ключей, когда это возможно.