Декодер JWT — декодируйте JSON Web Tokens и проверяйте срок действия онлайн

Вставьте любой JSON Web Token, чтобы мгновенно декодировать его заголовок и полезную нагрузку, просмотреть подпись и проверить, не истёк ли его срок действия. Работает локально — ваши токены никогда не покидают браузер.

Закодированный JWT

Decode and verify entirely in your browser — nothing is uploaded.

Файлы автоматически удаляются после обработкиБезопасная обработка по HTTPS

Закончили с декодировщиком JWT? Попробуйте дальше

Тщательно подобранные инструменты, которые отлично сочетаются с декодировщиком JWT. Продолжайте работу, не теряя свой файл.

Все инструменты
Hi!SGkhIQ==

Кодировщик / декодировщик Base64

Кодируйте любой текст или файл в Base64 (с URL-безопасным вариантом) или декодируйте Base64 обратно в текст. Безопасно для UTF-8.

Попробовать сейчас
abcSHA-256ba7816bf8f01cfea414140de

Генератор хешей

Вычисляйте шестнадцатеричные хеши SHA-1, SHA-256, SHA-384 и SHA-512 для любого текста или файла с помощью браузерного Web Crypto API.

Попробовать сейчас
{"id": 7,"ok": true}

Форматирование JSON

Форматируйте, проверяйте и минифицируйте JSON прямо в браузере. Красивое форматирование с отступом в 2 / 4 / 8 пробелов или минификация в одну строку с копированием и скачиванием.

Попробовать сейчас
a%20b%3Dcpercent-encoded

Кодировщик / декодировщик URL

Кодируйте компоненты URL или целые URL в процентном формате и декодируйте обратно. Режимы encodeURIComponent и encodeURI.

Попробовать сейчас
x9$Kf2

Генератор паролей

Генерируйте надёжные криптографически случайные пароли длиной до 128 символов с оценкой энтропии в реальном времени.

Попробовать сейчас
- old line+ new line shared+ added

Сравнение текста

Сравнивайте два текстовых фрагмента построчно. Раздельный или единый вид, опциональное игнорирование пробелов и регистра.

Попробовать сейчас

Frequently Asked Questions

Вставьте закодированный JWT (длинную строку eyJ…) в поле ввода. Инструмент разбивает его по двум точкам, декодирует заголовок и полезную нагрузку из Base64URL и показывает JSON для каждого плюс необработанный сегмент подписи — всё это без единого сетевого запроса.

usage

Нет. Декодер только разбирает токен — он не проверяет подпись по секретному или открытому ключу, поскольку для верификации нужен ключевой материал издателя. Для проверки в продакшене используйте серверную библиотеку JWT; этот инструмент предназначен для просмотра и отладки.

technical

Вы получаете заголовок (алгоритм и идентификатор ключа), утверждения полезной нагрузки (sub, iss, aud, iat, exp и любые пользовательские утверждения) и исходную подпись. Стандартные утверждения с метками времени форматируются как читаемые даты, чтобы вы могли с первого взгляда заметить устаревшие токены.

features

Если в полезной нагрузке есть стандартное поле «exp», инструмент сравнивает его с текущим временем и показывает либо «Действителен до», либо «Срок токена истёк» с точной отметкой времени. Токены без поля exp помечаются как не имеющие срока действия.

features

Любой, кто прочитает полезную нагрузку JWT, может использовать токен до истечения его срока действия, поэтому рабочие токены следует обрабатывать в приватных инструментах. Этот декодер работает полностью в вашем браузере и никогда не передаёт токен, но более безопасное правило — по возможности декодировать недолговечные токены для разработки.

privacy

JWT состоит из трёх сегментов в кодировке Base64URL, разделённых точками: заголовок (алгоритм подписи), полезная нагрузка (утверждения, которым издатель хочет, чтобы доверял проверяющий) и подпись (MAC или цифровая подпись над header.payload). Декодирование никогда не требует ключа — он нужен только для проверки.

technical

Компактный URL-безопасный токен из трёх сегментов Base64URL — заголовка, полезной нагрузки и подписи — который несёт подписанные данные, например идентификатор пользователя и время истечения. Он широко используется для сессий входа без хранения состояния и защиты запросов к API. Вставьте токен выше, чтобы изучить его заголовок и полезную нагрузку.

technical

Под декодированным заголовком и полезной нагрузкой вставьте секрет подписи (для HS256) или открытый ключ издателя в формате PEM или JWK (для RS256, ES256 и подобных) в поле «Проверить подпись», затем нажмите «Проверить». Появившийся значок сообщает, действительна ли подпись, недействительна или использует алгоритм, который браузерный верификатор не поддерживает — всё вычисляется локально, без отправки токена или ключа куда-либо.

features

For HMAC algorithms like HS256 you paste the raw shared secret string. For asymmetric algorithms like RS256, RS384 or ES256 you need the issuer's public key — never the private key — supplied as a PEM block or a JWK; pasting the wrong half of an asymmetric key pair will make verification fail even though the token is valid.

technical

The Verify signature panel supports every mainstream JOSE algorithm: HS256/384/512 (HMAC with a shared secret), RS256/384/512 (RSASSA-PKCS1-v1_5 with an RSA public key), PS256/384/512 (RSA-PSS with an RSA public key) and ES256/384/512 (ECDSA over the matching P-256/P-384/P-521 curve). Tokens signed with "none" or any algorithm outside this list are always reported as unsupported rather than marked valid, which also protects you from the classic alg=none forgery trick.

technical

The most common cause is pasting extra whitespace or a trailing newline into the secret box — the verifier hashes the exact bytes you enter, so a copy-paste artifact breaks the match. Also double-check you're verifying the current token: if the JWT was re-issued after you copied it, or the provider's secret is base64-encoded rather than a raw string, decode it first before pasting it in.

tips

Click Try sample JWT to load a demo HS256 token with sub, name, iat and exp claims so you can see decoding and expiry checking work before pasting your own token. Once a token is in the box, a Clear button appears next to it that wipes the input back to empty in one click.

usage

Each of the Header, Payload and Signature panels has its own Copy button in its top-right corner that copies only that section's JSON (or the raw signature string) to your clipboard. There's also a primary Copy Payload button below the panels for the most common case of grabbing just the claims to paste into a debugger or bug report.

features

How JWT Decoder helps you get it done

Real problems it solves every day — for businesses, creators, and everyday tasks. Find the use case that fits you and start in seconds.

For Developers

Отладка потоков OAuth и OpenID Connect

Декодируйте токены доступа и ID-токены, возвращаемые Auth0, Okta, Cognito и Azure AD, чтобы проверять области, аудитории и издателей при локальной работе над интеграцией OAuth

For Developers

Проверка заголовков Authorization в вызовах API

Вставьте bearer-токен из сбойного запроса API, чтобы подтвердить, виноваты ли неправильный арендатор, роль или срок действия, прежде чем открывать тикет команде бэкенда

For Developers

Проверка срока действия токена при разработке

Выявляйте просроченные токены, которые незаметно ломают вашу тестовую среду, прямо по полю exp — не нужно вставлять токен в терминал или писать быстрый скрипт

For Business

Проверка прав доступа, закодированных в claims токена

Проверяйте пользовательские claims — такие как роли, арендаторы и флаги функций, — чтобы администраторы могли убедиться, что токен клиента даёт именно тот доступ, который предусмотрела команда лицензирования

For Business

Проверка интеграций единого входа (SSO)

Проверяйте токены SAML и OIDC, которые формируют корпоративные SSO-интеграции, чтобы подтвердить членство в группах и сопоставление атрибутов до развёртывания на всех сотрудников

Education

Обучайте аутентификации на основе токенов

Используйте панели с расшифрованным заголовком, полезной нагрузкой и подписью, чтобы объяснить структуру JWT студентам буткемпов, начинающим инженерам и участникам воркшопов по безопасности

For Developers

Confirm a Partner's Webhook Signing Setup

Paste a partner's RS256 or ES256 public key into Verify signature to confirm their webhook payloads are actually signed correctly before you flip an integration into production.

Privacy & Security

Investigate a Leaked or Suspicious Token

Decode a token found in logs or a bug report to check its audience, scopes and expiry without needing the signing key, so you can assess exposure fast during an incident.

On Mobile

Debug Mobile App Sign-In Failures

Paste the access token your mobile app receives after login to confirm the expiry, issuer and custom claims match what the backend expects when sign-in works on web but fails on iOS or Android.

For Business

Validate Tokens from Firebase, Supabase & Clerk

Decode and inspect tokens issued by modern auth providers like Firebase, Supabase and Clerk to confirm the claims your app reads (uid, role, tenant) are actually present before wiring up authorization logic.