JWT Decoder онлайн — расшифровать JWT токен
Декодируйте JWT токен и посмотрите header, payload, время выдачи (iat) и истечения (exp). Расшифровка локально в браузере, токен никуда не отправляется.
О JWT Decoder
JWT (JSON Web Token) — это компактный токен из трёх частей, разделённых точками: header.payload.signature. Header и payload — это JSON в base64url, поэтому их можно читать без секрета. Подпись (signature) защищает токен от подделки и требует ключ для проверки. Этот инструмент только декодирует видимые части — всё происходит в браузере, токен никуда не уходит.
Когда нужен JWT decoder
Отладка авторизации
Проверьте, что пришло в payload от вашего auth-сервера: user id, роли, scopes, claims. Сравните iat/exp с временем сервера, если запросы получают 401.
Истёкший токен
Если приложение получает «token expired», вставьте JWT и сразу увидите exp в человекочитаемом виде — иногда часы клиента просто врут.
Состав токена в OAuth/OIDC
При интеграции с OAuth2 / OpenID Connect — посмотрите, какие claims отдаёт провайдер (sub, iss, aud, scope) и совпадают ли они с ожидаемыми.
Чтение idToken на фронтенде
Из id_token часто нужно вытащить email, name или роли пользователя — decoder покажет JSON, который вы можете распарсить в коде через atob.
Частые вопросы
Безопасно ли вставлять JWT в этот инструмент?
Декодирование выполняется в вашем браузере на JavaScript, токен не передаётся на сервер convertilo. Тем не менее, для production-секретов используйте локальные утилиты — публичные онлайн-инструменты в принципе нежелательно использовать для активных токенов.
Почему не проверяется подпись?
Чтобы валидировать подпись, нужен секрет (для HS256) или публичный ключ (RS256/ES256). Decoder просто разбирает структуру и показывает claims — для криптографической проверки используйте библиотеку (jsonwebtoken, jose, и т.д.).
JWT — это шифрование?
Нет, обычный JWT (JWS) — это подписанные, но НЕ зашифрованные данные. Каждый, у кого есть токен, может прочитать payload. Не кладите туда пароли, номера карт и другие секреты.
Что значат iat, exp, nbf, sub, iss, aud?
iat — issued at (когда выдан, unix-секунды). exp — expiration (когда истекает). nbf — not before (когда становится валидным). sub — subject (id пользователя). iss — issuer (кто выдал). aud — audience (для какого сервиса).
Можно ли расшифровать JWT без подписи?
Да, header и payload доступны всем — это base64url от JSON. «Расшифровать» здесь означает декодировать base64url и распарсить JSON, что и делает этот инструмент.