Перейти к содержимому
Toova
Все инструменты

Декодер и инспектор JWT

Приватность по умолчанию — работает полностью в вашем браузере

Декодируйте JWT (JSON Web Token) и проверяйте его заголовок и полезную нагрузку без отправки токена куда-либо. Toova отображает алгоритм, утверждения, временные метки выдачи и истечения срока действия в читаемом виде и помечает просроченные токены — всё локально, в вашем браузере.

Зачем декодировать JWT локально

Каждый другой декодер JWT просит вставить токен в удалённую форму. Проблема очевидна: если токен действителен, тот, кто управляет этим сервером, может выдать себя за вас. Toova декодирует токен полностью в вашем браузере, без загрузки и журналирования. Можно вставить продакшн-токен доступа, проверить утверждения и убедиться в корректной структуре без утечки токена третьей стороне.

Что видно в декодированном выводе

Toova разбивает токен на заголовок, полезную нагрузку и подпись. Заголовок показывает алгоритм и идентификатор ключа. Полезная нагрузка — это JSON с отступом, где каждое стандартное утверждение (iss, sub, aud, exp, nbf, iat, jti) преобразовано в читаемую форму. Временные метки переводятся в ваш местный часовой пояс, и инструмент указывает, является ли токен действительным, просроченным или ещё не активным.

Только декодирование, никакого доверия

Декодирование JWT — это не то же самое, что его верификация. Декодер показывает, что утверждает токен, но не проверяет подпись — для этого нужен ключ подписи, который хранится на сервере, выдавшем токен. Используйте Toova для отладки структуры утверждений, срока действия и значений аудитории; используйте вашу библиотеку аутентификации для верификации доверия перед предоставлением доступа.

Часто задаваемые вопросы

Проверяет ли Toova подпись JWT?
Нет. Верификация требует ключа подписи, который есть только у эмитента. Toova декодирует заголовок и полезную нагрузку для проверки утверждений, но доверие к токену по-прежнему требует верификации на стороне сервера с секретным или публичным ключом.
Отправляется ли мой токен куда-либо?
Нет. Декодер работает полностью в вашем браузере. Токен не покидает устройство, исходящих сетевых запросов при декодировании нет. Откройте DevTools и убедитесь сами.
Можно ли декодировать просроченный токен?
Да. Декодер работает независимо от срока действия. Он помечает токен как просроченный и показывает, когда истекло утверждение exp — это помогает при отладке отклонённых запросов.
Что говорит поле alg?
Оно идентифицирует алгоритм подписи: HS256 для HMAC-SHA256, RS256 для RSA, ES256 для ECDSA и так далее. Если alg равен «none», токен не подписан — это почти всегда ошибка безопасности.
Почему временные метки являются числами?
Утверждения JWT используют секунды Unix-эпохи. Toova переводит iat, nbf и exp в ваш местный часовой пояс для читаемости, сохраняя при этом видимым исходное значение для справки.