JWT-декодер

Усі інструменти

Встав JWT токен нижче, щоб розкодувати header і payload. Декодування не перевіряє підпис.

alg
typ
exp (UTC)

Примітка: цей інструмент лише декодує. Він не валідує і не перевіряє підпис.

Що таке JWT?

JWT (JSON Web Token) — компактний формат токена для автентифікації та авторизації.

Зазвичай JWT має три частини: header, payload і signature. Цей інструмент декодує header і payload локально у браузері та не перевіряє підпис.

Як користуватися JWT-декодером

  1. Встав JWT токен у поле введення.
  2. Інструмент розкодує header і payload у форматований JSON.
  3. За потреби скопіюй розкодований JSON для дебагу.

Поради

  • Якщо не декодується — перевір, що токен має три частини, розділені крапками.
  • Поля exp, iat і nbf зазвичай зберігаються як UNIX секунди.
  • Якщо токен скопійований із пробілами або переносами рядків — прибери їх.
  • Перевірка підпису потребує secret/public key і тут не виконується.

Пов’язані гайди

Дізнайся workflow за цим інструментом і що перевіряти далі.

JWT inspection перед troubleshooting auth

JWT decode допомагає перевірити claims і expiration metadata, але не доводить, що token trusted або accepted backend-ом.

Expiration claims

Перевір exp, iat, nbf, timezone assumptions і clock skew перед debug sessions або refresh token flows.

Audience and issuer

Звір aud, iss, tenant, client_id і environment з сервісом, який має validate token.

Role and scope claims

Перевір scopes, roles, permissions і feature flags, коли request authenticated, але unauthorized.

Signature caution

Decoded content — це не verification. Не вважай unverified token доказом identity.

Приватність і використання

Швидкі перевірки без акаунта

Toolinix створений для коротких developer tasks: вставити безпечний приклад, перевірити результат, скопіювати потрібне й рухатися далі.

Без логіну

Інструменти можна використовувати без акаунта, підписки на розсилку або збереження робочого простору.

Локально, коли можливо

Форматери, генератори, енкодери та текстові утиліти зазвичай працюють у браузері. Network diagnostics можуть потребувати server-assisted lookup для перевірки публічних URL, доменів або IP.

Не вставляй секрети

Не вставляй production passwords, private keys, access tokens, дані клієнтів або regulated data в онлайн-інструменти, якщо це не дозволено твоєю security policy.

Пов’язані інструменти

Можливо, тобі також стануть у пригоді ці інструменти.

FAQ про JWT-декодер

Цей інструмент перевіряє підпис JWT?
Ні. Він лише декодує header і payload.
Мій токен відправляється на сервер?
Ні. Декодування відбувається локально у браузері.
Що означає поле exp?
exp — це час завершення дії токена, зазвичай у UNIX секундах.
Чи можна декодувати зашифрований JWT (JWE)?
Цей інструмент розрахований на стандартні підписані JWT (JWS). Для JWE потрібні ключі дешифрування.