Skip to main content
CheckTown
Інструменти

Декодер JWT: Перевіряйте та відлагоджуйте JSON Web Tokens онлайн

Опубліковано 5 хв читання
У цій статті

Що таке JWT?

JSON Web Token (JWT) — це компактний токен у форматі, безпечному для URL, який використовується для передачі заявок між двома сторонами. JWT є основою сучасних систем автентифікації та авторизації — сервер видає їх після входу, а клієнт надсилає з наступними API-запитами для підтвердження особи.

JWT складається з трьох частин, закодованих у Base64URL та розділених крапками: заголовок (алгоритм і тип токена), корисне навантаження (заявки/дані) та підпис (перевірка цілісності). Підпис створюється за допомогою секретного або приватного ключа, що захищає токен від підробки.

Як працює декодування JWT

Декодування JWT розкриває його вміст без перевірки підпису — корисно для налагодження, але не для прийняття рішень щодо безпеки.

  • Декодування заголовка — показує алгоритм підпису (HS256, RS256 тощо) та тип токена
  • Декодування корисного навантаження — відображає всі заявки: ідентифікатор користувача, ролі, час закінчення дії та довільні дані
  • Перевірка закінчення дії — обчислює, чи не прострочений токен, на основі заявки exp

Спробуйте безкоштовно — реєстрація не потрібна

Декодувати JWT токен →

Коли використовувати декодування JWT

Декодування JWT є незамінним під час розробки API та налагодження.

  • Налагодження API — перевіряйте вміст токена, коли запити повертають помилки 401 або 403
  • Інтеграційне тестування — переконайтеся, що сервер автентифікації вбудовує правильні заявки у видані токени
  • Діагностика закінчення дії — швидко перевіряйте, чи спричинені збої автентифікації простроченими токенами

Часті запитання

Чи можна довіряти вмісту декодованого JWT?

Декодування розкриває корисне навантаження, але не перевіряє підпис. Ніколи не приймайте рішення щодо безпеки на основі декодованого вмісту токена, якщо ви не перевірили підпис за допомогою правильного секрету або публічного ключа. Декодер CheckTown призначений виключно для інспекції.

Що ніколи не можна зберігати в корисному навантаженні JWT?

Ніколи не зберігайте чутливу інформацію в корисному навантаженні JWT — паролі, номери кредитних карток або приватні ключі. JWT кодується, а не шифрується — будь-хто, хто перехопить токен, зможе декодувати корисне навантаження без ключа підпису.

У чому різниця між HS256 та RS256?

HS256 (HMAC-SHA256) використовує один спільний секрет для підпису та перевірки. RS256 (RSA-SHA256) використовує приватний ключ для підпису та публічний ключ для перевірки. RS256 є кращим вибором у розподілених системах, де багато сервісів мають перевіряти токени без доступу до секрету підпису.

Пов'язані інструменти

Генератор хешу: MD5, SHA-256 та більше — Коли використовувати коженХешування є фундаментальним для безпеки та цілісності даних. Дізнайтеся, який алгоритм обрати.Читати статтю → Кодування та декодування Base64: Повний посібник розробникаBase64 зустрічається скрізь у веб-розробці. Дізнайтеся, як це працює та коли використовувати.Читати статтю → Перевірка надійності пароля: Побудуйте безпечну автентифікаціюСлабкі паролі є однією з основних причин зламів. Дізнайтеся, як вимірювати надійність паролів.Читати статтю →
Назад до блогу