ГлавнаяJWT-декодер

JWT-декодер: разбор JSON Web Token онлайн

Бесплатный онлайн-декодер JWT (JSON Web Token). Вставьте токен — инструмент разберёт его на части, покажет header и payload в читаемом виде, распишет claims и подскажет, истёк ли срок действия. Всё происходит в браузере: токен никуда не отправляется. Подпись не проверяется — инструмент только декодирует.

JWT-токен

Что такое JWT

JWT (JSON Web Token) — компактный формат токена для авторизации и обмена данными между сервисами. Он состоит из трёх частей, разделённых точками: header.payload.signature. Первые две части — это JSON, закодированный в Base64URL, поэтому их легко прочитать; третья — подпись, которая подтверждает, что токен не подделан.

  • Header — алгоритм подписи (alg) и тип токена (typ), иногда идентификатор ключа kid.
  • Payload — полезная нагрузка: стандартные поля (iss, sub, aud, exp, iat, nbf, jti) и любые пользовательские данные.
  • Signature — подпись header и payload секретом или закрытым ключом издателя.

Что показывает декодер

  • Header и Payload — раскодированный JSON с подсветкой.
  • Разбор claims — человекочитаемые названия полей и значений.
  • Сроки действияexp, nbf, iat в виде даты и времени, а также статус: токен действителен, истёк или ещё не начал действовать.
  • Подсветка частей токена по цветам, как принято для JWT.
  • Приватность: токен обрабатывается только в браузере и никуда не передаётся.

Проверяется ли подпись

Нет. Это декодер: он показывает содержимое токена, но не проверяет криптографическую подпись. Для проверки подписи нужен ключ или сертификат издателя (секрет для HMAC либо открытый ключ для RSA/ECDSA/ГОСТ), а сам токен при этом не должен попадать на сторонние сайты. Поэтому декодирование и проверку принято разделять. Если вы работаете с подписью по ГОСТ, воспользуйтесь нашим сервисом электронной подписи и проверки по ГОСТ.

Понравился инструмент? Внутри сервиса ещё удобнее

Бесплатные инструменты — только часть Truemark. В личном кабинете вас ведут за руку интерактивные обучающие туры: сервис подсвечивает кнопку, которую нужно нажать, и объясняет каждый шаг — будто за вас кликают мышкой.

  • Туры по всем ключевым процессам: заказ кодов, печать этикеток, агрегация, УПД
  • Личный кабинет подсвечивает элементы и ведёт по шагам — как живой наставник
  • Ответ техподдержки — готовый тур, а не простыня скриншотов
  • 7 дней полного функционала бесплатно — без карты и обязательств
Попробовать бесплатно →
▶ Обучающий тур в личном кабинете Truemark

Частые вопросы

Мой токен куда-то отправляется?

Нет. Разбор JWT выполняется JavaScript-кодом полностью в вашем браузере — токен не передаётся на сервер и нигде не сохраняется. Тем не менее не вставляйте боевые токены на непроверенные сайты: они дают доступ к вашим данным.

Можно ли «расшифровать» JWT?

Обычный JWT не зашифрован, а закодирован в Base64URL — поэтому его содержимое (header и payload) всегда читается без ключа. Секретность обеспечивает не шифрование, а подпись: изменить данные незаметно нельзя. Существует и зашифрованный вариант (JWE) — его содержимое без ключа не прочитать.

Как понять, что токен истёк?

Поле exp — это время окончания действия (Unix-время в секундах). Декодер переводит его в дату и сразу показывает статус: «действителен», «истёк» или «ещё не действует» (для поля nbf).

Проверяет ли инструмент подпись?

Нет, только декодирует. Проверка подписи требует ключа издателя и выполняется отдельно, чтобы не передавать секреты и токены на сторонние сервисы.

Что делать, если токен не разбирается?

Убедитесь, что это именно JWT: три части через точку, где первые две — Base64URL от JSON. SAML, opaque-токены и простые API-ключи в этот формат не укладываются.

Ещё инструменты. JWT-декодер — один из бесплатных онлайн-инструментов Truemark для разработчиков и интеграторов: смотреть все инструменты →

Прокрутить вверх