JWT декодер

JWT е компактен, URL-безопасен формат за пренос на данни (claims) между две страни. Състои се от три части, разделени с точки: header (заглавна част), payload (полезен товар) и signature (подпис), всяка кодирана с base64url. Използва се най-често за удостоверяване и авторизация.

Не. Инструментът само декодира header и payload, за да видите съдържанието им — НЕ проверява криптографския подпис. За проверка е необходим тайният ключ (HMAC) или публичният ключ (RSA/ECDSA), което умишлено не правим тук от съображения за сигурност.

Стандартният JWT (JWS) е само подписан, не криптиран — payload-ът е base64url, който всеки може да декодира. Затова никога не слагайте чувствителни данни (пароли, лични тайни) в payload-а. За скрито съдържание се използва JWE.

Това са стандартни (registered) claims с времеви стойности в секунди от 1970 г.: exp (Expiration) — кога токенът изтича; iat (Issued At) — кога е издаден; nbf (Not Before) — от кога е валиден. Инструментът ги показва като четими дати и изчислява дали токенът е валиден, изтекъл или все още невалиден.

Да. Декодирането е UTF-8 базирано, така че стойности на кирилица, емоджи и всякакви Unicode знаци в claims се показват коректно.

Не. Цялото декодиране става локално в браузъра ви чрез JavaScript — токенът не се изпраща към сървър. Това е особено важно, защото JWT често съдържа активни сесийни данни.