JWT Декодер и Кодировщик

Примечание: JWT кодирование выполняется на стороне клиента. Никогда не используйте здесь production секреты.

О JWT

JSON Web Token (JWT) — это компактный, URL-безопасный способ представления утверждений между двумя сторонами.

Структура:

  • Заголовок - Алгоритм и тип токена
  • Полезная нагрузка - Утверждения (данные)
  • Подпись - Проверка
Стандартные утверждения
  • iss - Издатель
  • sub - Субъект
  • aud - Аудитория
  • exp - Время истечения
  • nbf - Не раньше
  • iat - Выдан в
  • jti - JWT ID
Поддерживаемые алгоритмы
  • HS256 - HMAC SHA-256
  • HS384 - HMAC SHA-384
  • HS512 - HMAC SHA-512
  • RS256 - RSA (только декодирование)
  • ES256 - ECDSA (только декодирование)

JWT Декодер — смотрите содержимое токенов локально

Вставьте JWT и посмотрите, что внутри. Всё работает в браузере, токены никуда не уходят. Полезно при отладке авторизации или когда нужно быстро проверить claims.

Что такое JWT?

JWT (произносится "джот") — компактный формат токена по стандарту RFC 7519. Содержит JSON-payload с подписью — серверы могут доверять данным без обращения к базе. Используется для авторизации в веб-приложениях, API, OAuth.

Что умеет этот инструмент

Когда пригодится

Вопросы про JWT

Подписанный JSON-блоб, которому серверы могут доверять без обращения к базе. Содержит claims (кто вы, что можете, когда истекает) плюс подпись, доказывающую, что его не подменили.

Header (используемый алгоритм), Payload (данные/claims), Signature (доказательство подлинности). Каждая часть в Base64URL, разделены точками.

Подпись безопасна — подмена обнаружится. Но payload только закодирован, не зашифрован. Любой может прочитать. Не кладите туда секреты. И всегда HTTPS.

Стандартные: iss (кто выдал), sub (для кого), exp (когда истекает), iat (когда выдан). Добавляйте свои claims для ролей, прав, чего нужно приложению.