JWT-декодер: разбор JSON Web Token онлайн
Бесплатный онлайн-декодер JWT (JSON Web Token). Вставьте токен — инструмент разберёт его на части, покажет header и payload в читаемом виде, распишет claims и подскажет, истёк ли срок действия. Всё происходит в браузере: токен никуда не отправляется. Подпись не проверяется — инструмент только декодирует.
Что такое JWT
JWT (JSON Web Token) — компактный формат токена для авторизации и обмена данными между сервисами. Он состоит из трёх частей, разделённых точками: header.payload.signature. Первые две части — это JSON, закодированный в Base64URL, поэтому их легко прочитать; третья — подпись, которая подтверждает, что токен не подделан.
- Header — алгоритм подписи (
alg) и тип токена (typ), иногда идентификатор ключаkid. - Payload — полезная нагрузка: стандартные поля (
iss,sub,aud,exp,iat,nbf,jti) и любые пользовательские данные. - Signature — подпись header и payload секретом или закрытым ключом издателя.
Что показывает декодер
- Header и Payload — раскодированный JSON с подсветкой.
- Разбор claims — человекочитаемые названия полей и значений.
- Сроки действия —
exp,nbf,iatв виде даты и времени, а также статус: токен действителен, истёк или ещё не начал действовать. - Подсветка частей токена по цветам, как принято для JWT.
- Приватность: токен обрабатывается только в браузере и никуда не передаётся.
Проверяется ли подпись
Нет. Это декодер: он показывает содержимое токена, но не проверяет криптографическую подпись. Для проверки подписи нужен ключ или сертификат издателя (секрет для HMAC либо открытый ключ для RSA/ECDSA/ГОСТ), а сам токен при этом не должен попадать на сторонние сайты. Поэтому декодирование и проверку принято разделять. Если вы работаете с подписью по ГОСТ, воспользуйтесь нашим сервисом электронной подписи и проверки по ГОСТ.
Понравился инструмент? Внутри сервиса ещё удобнее
Бесплатные инструменты — только часть Truemark. В личном кабинете вас ведут за руку интерактивные обучающие туры: сервис подсвечивает кнопку, которую нужно нажать, и объясняет каждый шаг — будто за вас кликают мышкой.
- Туры по всем ключевым процессам: заказ кодов, печать этикеток, агрегация, УПД
- Личный кабинет подсвечивает элементы и ведёт по шагам — как живой наставник
- Ответ техподдержки — готовый тур, а не простыня скриншотов
- 7 дней полного функционала бесплатно — без карты и обязательств
Частые вопросы
Мой токен куда-то отправляется?
Нет. Разбор JWT выполняется JavaScript-кодом полностью в вашем браузере — токен не передаётся на сервер и нигде не сохраняется. Тем не менее не вставляйте боевые токены на непроверенные сайты: они дают доступ к вашим данным.
Можно ли «расшифровать» JWT?
Обычный JWT не зашифрован, а закодирован в Base64URL — поэтому его содержимое (header и payload) всегда читается без ключа. Секретность обеспечивает не шифрование, а подпись: изменить данные незаметно нельзя. Существует и зашифрованный вариант (JWE) — его содержимое без ключа не прочитать.
Как понять, что токен истёк?
Поле exp — это время окончания действия (Unix-время в секундах). Декодер переводит его в дату и сразу показывает статус: «действителен», «истёк» или «ещё не действует» (для поля nbf).
Проверяет ли инструмент подпись?
Нет, только декодирует. Проверка подписи требует ключа издателя и выполняется отдельно, чтобы не передавать секреты и токены на сторонние сервисы.
Что делать, если токен не разбирается?
Убедитесь, что это именно JWT: три части через точку, где первые две — Base64URL от JSON. SAML, opaque-токены и простые API-ключи в этот формат не укладываются.
Ещё инструменты. JWT-декодер — один из бесплатных онлайн-инструментов Truemark для разработчиков и интеграторов: смотреть все инструменты →
