Перейти к содержанию
Логотип CrateX.app

CrateX.app

Декодер JWT

Локально декодируйте стандартный JWT из трех частей, просматривайте Header и Payload JSON, копируйте исходную Signature и проверяйте exp/nbf/iat без проверки подписи.

Входной текст

Символы

0 / 16,000

Примечание. Этот инструмент только декодирует и отображает токен. Он не проверяет подпись, и декодированные утверждения могут быть подделаны до тех пор, пока доверенный сервер не проверит их.
Декодер JWT

Быстрый старт

1
Вставьте полный JWT из трех частей, разделенных точками.
2
Читайте JSON Header и Payload; Signature показана сырой и не проверяется.
3
Проверьте exp/nbf/iat по локальному времени и UTC.
4
Скопируйте нужную часть; очистите чувствительные token после работы.

Частые сценарии

Отладка API

быстрая проверка содержимого токена и сравнение утверждений.

Проверка истечения

Проверьте поле exp, действителен ли токен

Изучение JWT

Поймите структуру Header/Payload и кодировку Base64URL

Сравнение сред

Сравните токены между dev/test/prod

Рекомендации по использованию

Декодированные полезные данные доступны для чтения, но не доверены. Производственные системы должны проверять подпись и проверять правила iss, aud, sub, область действия и отзыв на серверной стороне.
Избегайте вставки токенов с конфиденциальными данными на публичных устройствах
Временные поля — это Unix-метки времени (секунды); инструмент автоматически конвертирует в локальное/UTC время

Контракт на декодер

Ввод должен быть компактным JWT из трех частей в формате header.payload.signature. Токены JWE из пяти частей и пользовательские форматы token выходят за рамки этого декодера.
Заголовок и полезная нагрузка декодируются с помощью Base64URL как UTF-8, а затем анализируются как JSON. Если какая-либо часть недействительна Base64URL или JSON, исходный ввод остается на месте, а результат показывает ошибку сопоставления.
Панель Signature показывает только исходный третий сегмент. Здесь не выполняется проверка через secret, public key, JWK/JWKS или Web Crypto.

Граница безопасности

Декодирование JWT выполняется локально в браузере. Введенный token может оставаться как черновик в браузере. Если включено сохраненное рабочее пространство или синхронизация WebDAV, введенный token может сохраняться через эту синхронизацию. Отображаемые данные Header, Payload и Signature, карточки времени claims, ошибки парсинга, состояние копирования и история отмены выводятся из текущего token и не сохраняются как отдельные данные результата. Этот инструмент не проверяет подписи, не получает JWKS или URL-адреса, не загружает tokens, не создает вложения и не создает загрузки декодированных файлов. На общем устройстве после завершения очистите token и данные сайта.
Если токен содержит конфиденциальную информацию, используйте частное устройство и очистите ввод после проверки.
Декодирование только делает утверждения читабельными. Это не доказывает, что токен был выдан вашим сервером, принят API или ему можно доверять.
alg, kid, iss, aud, sub, scope, roles и jti отображаются как простые поля JSON. Проверьте их с помощью своей серверной части, метаданных эмитента, ключей, правил аудитории и политики отзыва.
Статус времени использует exp и nbf с вашими местными часами. Рассогласование часов сервера, льготные периоды, отзыв сеанса и состояние токена обновления могут изменить реальный результат.
Здесь не поддерживается: проверка подписи, ввод секретного или открытого ключа, поиск JWK/JWKS, обнаружение OIDC, интроспекция OAuth, расшифровка JWE, разбор вложенных JWT, генерация token и серверная проверка.

Ограничения и совместимость

Только декодирование Base64URL — без проверки подписи
Поддерживается только стандартный 3-частный JWT; JWE или нестандартные форматы не поддерживаются
Вложенные JWT (JWT в payload) не обрабатываются
Статус времени не является полной проверкой достоверности. Токен может иметь неистекший срок действия и быть отклонен сервером.
На этой странице доступны только действия копирования. Он не загружает, не экспортирует, не сохраняет и не передает файлы декодированных токенов.

Конфиденциальность и безопасность

Декодирование JWT выполняется локально в браузере. Введенный token может оставаться как черновик в браузере. Если включено сохраненное рабочее пространство или синхронизация WebDAV, введенный token может сохраняться через эту синхронизацию. Отображаемые данные Header, Payload и Signature, карточки времени claims, ошибки парсинга, состояние копирования и история отмены выводятся из текущего token и не сохраняются как отдельные данные результата. Этот инструмент не проверяет подписи, не получает JWKS или URL-адреса, не загружает tokens, не создает вложения и не создает загрузки декодированных файлов. На общем устройстве после завершения очистите token и данные сайта.
Если токен содержит конфиденциальную информацию, используйте частное устройство и очистите ввод после проверки.

Частые вопросы

6

Перейдите к следующему шагу с этими связанными инструментами.

О нас

О нас
Тарифы

Правовая информация

Условия
Политика конфиденциальности
Политика файлов cookie

Настройки

Управление cookie

Вся обработка инструментов выполняется локально в вашем браузере.