Handytool
Посібник розробника5 хв читанняОновлено 24 лют. 2026 р.

Миттєва утиліта розробника

Декодуйте будь-який JWT та перевірте його претензії миттєво

Декодер JWT від Handytool розділяє будь-який JSON Web Token на його заголовок, корисне навантаження та претензії — з перевіркою терміну дії та читаємими мітками часу — все у вашому браузері, ніколи торкаючись сервера.

Відкрити JWT декодувальникУсі статті

Ключові моменти

  • 01Декодуйте будь-який JWT та перевірте заголовок, корисне навантаження та стандартні претензії за одну вставку.
  • 02Претензії exp, nbf та iat конвертуються до читаємих мітам часу з дійсними/терміновими тегами.
  • 03Декодування чисто локальне — безпечне для вставки справжніх виробничих маркерів під час налагодження.
  • 04Декодер не перевіряє підписи — це повинно відбуватися на серверній стороні за допомогою ключа видавця.

Чому вам потрібен декодер JWT

JSON Web Tokens виглядають як випадковий шум, поки ви не знаєте, що вони — три сегменти, кодовані Base64URL, розділені точками. Перший сегмент — це заголовок (алгоритм та тип маркера), другий — корисне навантаження (претензії: ID користувача, ролі, термін дії) та третій — підпис. При налагодженні проблеми аутентифікації, терміненого сеансу або зламаної інтеграції OAuth, перше, що вам потрібно зробити, — це прочитати корисне навантаження.

Це вручну означає розділення на точки, декодування Base64URL та конвертування мітам часу Unix до читаємих дат. Декодер JWT від Handytool робить все це автоматично та додає теги дійсності до претензій часу, щоб ви могли побачити на перший погляд, чи маркер ще активний.

Як декодувати JWT маркер

  1. 01

    Скопіюйте JWT

    Схопіть маркер з DevTools браузера (Application > Cookies, або панель Network Authorization header), з файлу журналу або з вашого клієнта API.

  2. 02

    Вставте його в декодер

    Вставте повний маркер — включаючи всі три сегменти, розділені точками — у поле введення. Декодер автоматично ідентифікує сегменти.

  3. 03

    Прочитайте заголовок та корисне навантаження

    Інструмент розділяє маркер та красиво друкує заголовок (алгоритм, тип) та корисне навантаження (усі претензії) як відформатований JSON.

  4. 04

    Перевірте претензії часу

    Мітки часу Unix exp (дата закінчення), nbf (не раніше) та iat (видано на) конвертуються до дат ISO. Декодер позначає exp як зелене (дійсне) або червоне (закінчено) відносно вашого поточного локального часу.

Пояснення стандартних претензій JWT

Ці зареєстровані імена претензій з'являються у більшості JWT.

  • 01iss (Видавець) — ідентифікує, хто створив маркер, зазвичай URL або назва сервісу.
  • 02sub (Тема) — принцип, який маркер представляє, зазвичай ID користувача.
  • 03aud (Аудиторія) — призначені одержувачі маркера; ваш сервер повинен відхилити маркери, призначені для інших.
  • 04exp (Дата закінчення) — мітка часу Unix після якої маркер повинен бути відхилений.
  • 05nbf (Не раніше) — мітка часу Unix до якої маркер повинен бути відхилений.
  • 06iat (Видано на) — мітка часу Unix, коли маркер був напрацьований; корисно для виявлення застарілих маркерів.

Безпечно вставляти справжні маркери під час налагодження

Декодування JWT відбувається повністю у вашому браузері за допомогою рідної функції atob та JSON.parse. Ніщо не передається на будь-який сервер — ваш маркер декодується в пам'яті та відображається локально. Ви можете безпечно вставити справжні маркери доступу та маркери сеансу з середовищ розробки або проміжного функціонування для налагодження потоків аутентифікації.

Це сказано, обробляйте JWT як паролі. Вони надають доступ до ваших систем на весь свій час життя. Не вставляйте виробничі маркери від облікових записів з високими привілеями в будь-який інструмент, якщо ви впевнені в гарантіях конфіденційності інструменту — і завжди повертайте маркер, якщо ви вважаєте, що він міг бути розкритий.

Часті запитання декодера JWT

Що таке JWT?

JSON Web Token — це компактний, безпечний для URL формат, що складається з трьох сегментів Base64URL (заголовок, корисне навантаження, підпис), розділених точками. JWT носять претензії — твердження про користувача або сеанс — та використовуються для аутентифікації, авторизації та доступу до API.

Чи цей декодер перевіряє підпис JWT?

Ні. Декодер лише розбирає заголовок та корисне навантаження. Перевірка підпису вимагає ключа секрету або публічного ключа видавця та мусить відбуватися у коді вашого додатку за допомогою надійної бібліотеки.

Чи безпечно вставляти справжній маркер доступу?

Декодування чисто локальне — маркер ніколи не передається. Однак, JWT надають справжній доступ, тому обробляйте їх як паролі. Не поділяйтеся ними, не фіксуйте їх у керуванні вихідним кодом та повертайте їх, якщо вони можуть бути розкрити.

Що означає претензія exp?

exp — це мітка часу закінчення — цілий час Unix, що представляє момент, коли маркер припиняє бути дійсним. Декодер конвертує його до читаємої дати ISO та позначає як дійсний або закінчено відносно вашого поточного локального часу.

Чому корисне навантаження JWT видиме без ключа?

Корисні навантаження JWT кодуються Base64URL, не шифруються. Вони розроблені для читання — підпис лише доводить автентичність, не конфіденційність. Ніколи не включайте справді таємні дані у корисне навантаження JWT, якщо ви не використовуєте JSON Web Encryption (JWE).

Чи декодер безплатний?

Так. Handytool безплатний без реєстрації, без обмежень швидкості та без збору даних.

Пов'язані інструменти

Продовжуйте роботу з інструментами Утиліти

Інструменти Утиліти