Валидация токенов JSON Web с обработкой в реальном времени и проверками безопасности
Профессиональные инструменты для
Вставьте любой JWT и сразу увидите декодированный заголовок, нагрузку и подпись с цветовой маркировкой
Поддерживает HMAC (HS256/384/512), RSA (RS256/384/512), ECDSA (ES256/384/512) и PSS алгоритмы
Автоматически определяет статус истечения токена и показывает оставшееся или прошедшее время
Показывает все стандартные claims (iss, sub, aud, exp, iat) и пользовательские claims с читаемыми метками
Создавайте новые JWT-токены с пользовательскими заголовками, нагрузкой и секретами для тестирования и разработки
Вся обработка токенов происходит в вашем браузере — ваши секреты и токены никогда не отправляются на сервер
Распространенные вопросы о
JWT (JSON Web Token) — компактный формат токена для аутентификации. Состоит из трёх частей в кодировке Base64URL, разделённых точками: заголовка (алгоритм и тип), нагрузки (claims: ID пользователя, срок действия) и подписи (криптографическое доказательство целостности токена).
Да. Всё декодирование происходит локально в браузере — данные не отправляются ни на какой сервер. Помните, что payload JWT лишь закодирован в Base64, а не зашифрован. Любой, у кого есть токен, может прочитать payload — никогда не храните секреты в JWT claims.
HS256 использует общий секретный ключ (симметричный) — создателю и верификатору нужен один и тот же секрет. RS256 использует пару публичного/приватного ключей (асимметричный) — создатель подписывает приватным ключом, а любой может верифицировать публичным. Используйте RS256 для публичных API.
Вставьте токен, и наш инструмент автоматически считает claim 'exp' и сравнит его с текущим временем. Покажет, действителен ли токен, истёк ли, или не имеет срока действия, с точным оставшимся или прошедшим временем.
Да. Введите пользовательский заголовок и нагрузку, укажите секрет — инструмент сгенерирует подписанный JWT. Полезно для тестирования API-аутентификации локально, создания mock-токенов для разработки и изучения принципов JWT-подписи.
Payload JWT закодирован в Base64, но не зашифрован — любой, у кого есть токен, может декодировать и прочитать содержимое. Храните в JWT только нечувствительные идентификаторы (ID пользователя, роли, срок действия). Чувствительные данные держите на сервере и обращайтесь к ним по ID.