Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Декодер / Инспектор JWT

Вставьте JWT, чтобы декодировать его заголовок и полезную нагрузку и проверить такие риски, как alg:none, истечение срока действия или отсутствие exp. Всё работает в вашем браузере; подписи не проверяются.

Всё выполняется в вашем браузере. Введённые данные никогда не отправляются на сервер.

Вставьте JWT выше, чтобы увидеть декодированный результат.

Как пользоваться

  1. 1

    Вставьте JWT, который хотите проверить (заголовок.полезная_нагрузка.подпись — три части).

  2. 2

    Заголовок и полезная нагрузка декодируются, а опасные значения перечисляются.

  3. 3

    exp / iat / nbf отображаются в виде понятных человеку меток времени.

Почему это важно

Главное, что нужно понять: JWT не зашифрован. Любой может декодировать его через Base64URL и прочитать. Поэтому никогда не помещайте секреты в полезную нагрузку, отклоняйте alg:none и всегда задавайте exp — это базовые меры защиты.

Частые вопросы

QОтправляется ли мой JWT куда-нибудь?
A

Нет. Декодирование полностью происходит в вашем браузере; токен никогда не отправляется на сервер. Тем не менее будьте осторожны при работе с боевыми секретами.

QПроверяется ли подпись?
A

Нет. Этот инструмент только декодирует и проверяет содержимое (для проверки нужен ключ; для защиты главное — увидеть, что внутри).

Похожие страницы