JSON Web Token (JWT) — стандарт авторизации (RFC 7519), где токен — это три base64url-сегмента через точку: header.payload.signature. Наш декодер разбирает токен, показывает алгоритм подписи, все claim-ы payload и, если вы введёте секрет или публичный ключ, проверяет подпись. Всё происходит в браузере — токены не уходят на сервер.
Разработчики аутентификации используют инструмент для отладки: почему Backend возвращает 401? Протух exp? Не совпадает iss или aud? Сессия пользователя жалуется на expired token — проверьте iat, exp и nbf в UTC и локальном времени. Поддерживаются HS256, HS384, HS512 (HMAC), RS256, RS384, RS512 (RSA) и ES256 (ECDSA).
Встроен каталог стандартных claims (iss, sub, aud, exp, nbf, iat, jti) с human-readable описанием, а также popular кастомных: role, scope, tenant_id, email_verified, cognito:groups, preferred_username. Для production-токенов обязательно проверяйте подпись — читаемость payload сама по себе ничего не гарантирует.
Бесплатный виджет с бэклинком на ваш сайт
Загрузка…
Для корректного взаимодействия API используйте основные HTTP‑коды: 200 — успех, 201 — создано, 400 — ошибка запроса, 401 — неавторизовано, 404 — не найдено и 500 — ошибка сервера.
Диаграммы архитектуры сохраняют критическую роль в DevOps, обеспечивая визуальное согласование, ускоряя автоматизацию и снижая риски внедрения новых сервисов.
PostgreSQL Benchmarking Tool измеряет производительность запросов за секунды, а оптимизация JOIN в SQLite сокращает время выполнения до 30 % уже в 2026 году.
Вставьте JWT полностью (три сегмента через точку) в поле.
Посмотрите разбор header и payload, включая exp и алгоритм.
Введите секрет или публичный ключ, чтобы проверить подпись.
Скопируйте нужный claim или сам токен обратно в Postman.
Три сегмента показываются раздельно, с подсветкой синтаксиса JSON.
Введите секрет (HS256) или публичный PEM (RS256) — получите verdict: valid / invalid.
Unix timestamp превращается в дату, показывается «осталось 3 часа 15 минут» или «истёк 2 дня назад».
iss, sub, aud, jti, scope, role — с пояснениями из RFC 7519 и популярных IdP.
Токены авторизации не уходят в сеть — идеально для прод-дебага.
Для лучших результатов используйте современный браузер (Chrome, Firefox, Edge)
Все файлы обрабатываются локально в вашем браузере для максимальной безопасности
Сохраняйте результат сразу после обработки
Попробуйте разные настройки для оптимального результата
Категорически нет. Токен с «alg»: «none» может подделать кто угодно — подписи попросту нет. Более того, в 2015-м была громкая уязвимость CVE-2015-9235: часть библиотек принимала «alg»: «none» от клиента. На продакшене всегда требуйте HS256/RS256 и явно отклоняйте «none».
Нет — правильно спроектированный JWT не содержит пароль. Но payload — это base64url, а не шифрование: любой может прочитать email, user_id, role. Не кладите в payload PII и секреты.
Откройте JWKS URL (обычно .well-known/jwks.json), найдите ключ с тем же kid, что в header JWT, и соберите из n/e PEM-представление. В нашем инструменте можно вставить JWK целиком — он сам извлечёт публичный ключ.
Нет. exp — это часть подписанных данных, менять его нельзя без повторного подписания приватным ключом сервера. Вместо этого используйте refresh_token для получения нового access_token.
JWS (JSON Web Signature) — подписанный токен, читаем, но не подделываем. JWE (JSON Web Encryption) — зашифрованный, payload нельзя прочитать без ключа. JWT — это общее название, чаще всего реализованное как JWS. Три сегмента через точку — это JWS; пять сегментов — JWE.
Да. Декодирование и проверка подписи происходят в вашем браузере — токен и секрет не отправляются на наш сервер, не попадают в логи, не сохраняются. Можете проверить это во вкладке Network DevTools.
Создайте QR-код из текста, URL или данных