С этим инструментом что-то не так?
О «Декодер JWT Онлайн»
Этот инструмент декодирует JWT (JSON Web Token) на три части: header, payload и подпись. Вставьте токен из auth-флоу, заголовка Authorization или cookie — получите распарсенный JSON header и payload, а также байты подписи.
JWT широко используются для аутентификации, сессий и авторизации API. Декодирование (не валидация) показывает данные токена: user_id, время истечения, scope, кастомные claims. Удобно при отладке auth и проверке отправленного содержимого.
Важно: инструмент только декодирует, но не проверяет подпись. Содержимое токена — это лишь утверждение издателя. Безопасность гарантирует только проверка подписи по публичному ключу на сервере.
Как пользоваться этим инструментом
Как осмотреть header и payload JSON Web Token
Вставьте JWT
Токен — в поле "Token". JWT выглядит как `xxx.yyy.zzz` — три base64url-сегмента через точку. Инструмент режет по точкам и декодирует первые два.
Запуск
Результат: `header` (алгоритм и тип, например `{ "alg": "HS256", "typ": "JWT" }`) и `payload` (ваши claim'ы — `sub`, `exp`, `iat` плюс прикладные). Третий сегмент (signature) не проверяется и не показывается.
Что это не
Декодирование ≠ верификация. Любой с токеном прочтёт payload; подлинность подтверждает только подпись, для которой нужен secret/public ключ. Не доверяйте незаверенным токенам — проверяйте через jwt-encoder или auth-библиотеку на своей стороне.
Какие claim'ы посмотреть
`exp` — Unix-метка: просроченные токены не принимать, даже если подпись валидна. `iss` должен совпадать с ожидаемым издателем; `aud` — с вашим сервисом. Если payload в порядке, но авторизация падает — дело в подписи, а не в claim'ах.