Декодер JWT — декодируйте JSON Web Tokens и проверяйте срок действия онлайн
Вставьте любой JSON Web Token, чтобы мгновенно декодировать его заголовок и полезную нагрузку, просмотреть подпись и проверить, не истёк ли его срок действия. Работает локально — ваши токены никогда не покидают браузер.
Decode and verify entirely in your browser — nothing is uploaded.
Закончили с декодировщиком JWT? Попробуйте дальше
Тщательно подобранные инструменты, которые отлично сочетаются с декодировщиком JWT. Продолжайте работу, не теряя свой файл.
Кодировщик / декодировщик Base64
Кодируйте любой текст или файл в Base64 (с URL-безопасным вариантом) или декодируйте Base64 обратно в текст. Безопасно для UTF-8.
Попробовать сейчасГенератор хешей
Вычисляйте шестнадцатеричные хеши SHA-1, SHA-256, SHA-384 и SHA-512 для любого текста или файла с помощью браузерного Web Crypto API.
Попробовать сейчасФорматирование JSON
Форматируйте, проверяйте и минифицируйте JSON прямо в браузере. Красивое форматирование с отступом в 2 / 4 / 8 пробелов или минификация в одну строку с копированием и скачиванием.
Попробовать сейчасКодировщик / декодировщик URL
Кодируйте компоненты URL или целые URL в процентном формате и декодируйте обратно. Режимы encodeURIComponent и encodeURI.
Попробовать сейчасГенератор паролей
Генерируйте надёжные криптографически случайные пароли длиной до 128 символов с оценкой энтропии в реальном времени.
Попробовать сейчасСравнение текста
Сравнивайте два текстовых фрагмента построчно. Раздельный или единый вид, опциональное игнорирование пробелов и регистра.
Попробовать сейчасFrequently Asked Questions
Вставьте закодированный JWT (длинную строку eyJ…) в поле ввода. Инструмент разбивает его по двум точкам, декодирует заголовок и полезную нагрузку из Base64URL и показывает JSON для каждого плюс необработанный сегмент подписи — всё это без единого сетевого запроса.
usageНет. Декодер только разбирает токен — он не проверяет подпись по секретному или открытому ключу, поскольку для верификации нужен ключевой материал издателя. Для проверки в продакшене используйте серверную библиотеку JWT; этот инструмент предназначен для просмотра и отладки.
technicalВы получаете заголовок (алгоритм и идентификатор ключа), утверждения полезной нагрузки (sub, iss, aud, iat, exp и любые пользовательские утверждения) и исходную подпись. Стандартные утверждения с метками времени форматируются как читаемые даты, чтобы вы могли с первого взгляда заметить устаревшие токены.
featuresЕсли в полезной нагрузке есть стандартное поле «exp», инструмент сравнивает его с текущим временем и показывает либо «Действителен до», либо «Срок токена истёк» с точной отметкой времени. Токены без поля exp помечаются как не имеющие срока действия.
featuresЛюбой, кто прочитает полезную нагрузку JWT, может использовать токен до истечения его срока действия, поэтому рабочие токены следует обрабатывать в приватных инструментах. Этот декодер работает полностью в вашем браузере и никогда не передаёт токен, но более безопасное правило — по возможности декодировать недолговечные токены для разработки.
privacyJWT состоит из трёх сегментов в кодировке Base64URL, разделённых точками: заголовок (алгоритм подписи), полезная нагрузка (утверждения, которым издатель хочет, чтобы доверял проверяющий) и подпись (MAC или цифровая подпись над header.payload). Декодирование никогда не требует ключа — он нужен только для проверки.
technicalКомпактный URL-безопасный токен из трёх сегментов Base64URL — заголовка, полезной нагрузки и подписи — который несёт подписанные данные, например идентификатор пользователя и время истечения. Он широко используется для сессий входа без хранения состояния и защиты запросов к API. Вставьте токен выше, чтобы изучить его заголовок и полезную нагрузку.
technicalПод декодированным заголовком и полезной нагрузкой вставьте секрет подписи (для HS256) или открытый ключ издателя в формате PEM или JWK (для RS256, ES256 и подобных) в поле «Проверить подпись», затем нажмите «Проверить». Появившийся значок сообщает, действительна ли подпись, недействительна или использует алгоритм, который браузерный верификатор не поддерживает — всё вычисляется локально, без отправки токена или ключа куда-либо.
featuresFor HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.
technicalThe Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.
technicalThe most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.
tipsClick Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.
usageEach of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.
featuresHow JWT Decoder helps you get it done
Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.
Отладка потоков OAuth и OpenID Connect
Декодируйте токены доступа и ID-токены, возвращаемые Auth0, Okta, Cognito и Azure AD, чтобы проверять области, аудитории и издателей при локальной работе над интеграцией OAuth
Проверка заголовков Authorization в вызовах API
Вставьте bearer-токен из сбойного запроса API, чтобы подтвердить, виноваты ли неправильный арендатор, роль или срок действия, прежде чем открывать тикет команде бэкенда
Проверка срока действия токена при разработке
Выявляйте просроченные токены, которые незаметно ломают вашу тестовую среду, прямо по полю exp — не нужно вставлять токен в терминал или писать быстрый скрипт
Проверка прав доступа, закодированных в claims токена
Проверяйте пользовательские claims — такие как роли, арендаторы и флаги функций, — чтобы администраторы могли убедиться, что токен клиента даёт именно тот доступ, который предусмотрела команда лицензирования
Проверка интеграций единого входа (SSO)
Проверяйте токены SAML и OIDC, которые формируют корпоративные SSO-интеграции, чтобы подтвердить членство в группах и сопоставление атрибутов до развёртывания на всех сотрудников
Обучайте аутентификации на основе токенов
Используйте панели с расшифрованным заголовком, полезной нагрузкой и подписью, чтобы объяснить структуру JWT студентам буткемпов, начинающим инженерам и участникам воркшопов по безопасности
Confirm a Partner's Webhook Signing Setup
Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.
Investigate a Leaked or Suspicious Token
Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.
Debug Mobile App Sign-In Failures
Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.
Validate Tokens from Firebase, Supabase & Clerk
Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.
Pixoate