key

JWT инструмент

lock Encoded
verified_user Verify Signature
header Header Algorithm
data_object Payload Claims
Token is up to date
settings Token Settings
Used to sign the token
Edit the claims. Standard claims: sub, name, iat, exp, nbf, aud, iss

									

									

										
									

								

							

						

					

				

			

		


		
		

			

				

					key
					JWT Decoder & Encoder — полное руководство по JSON Web Token
				


				

					

						info
						

							
Что такое JWT и зачем он нужен?

							

								JSON Web Token (JWT) — это компактный, самодостаточный способ безопасной передачи информации между сторонами в виде JSON-объекта.
								Каждая часть токена (заголовок, полезная нагрузка, подпись) кодируется в Base64URL и соединяется точками.
								JWT подписывается криптографически, что позволяет получателю убедиться в подлинности данных.
							

						

					

				


				

					structure
					Структура JWT: из чего состоит токен
				

				

					JWT состоит из трёх частей, разделённых точками: header.payload.signature.
					Каждая часть кодируется отдельно в формате Base64URL, что делает токен компактным и безопасным для передачи через URL, заголовки HTTP и cookies.
				


				

					

						

							

								

									header
									
Header (Заголовок)

								

								

									Содержит метаданные о токене:
								

								
    
									
  • typ — тип токена (JWT)
    • 
									
  • alg — алгоритм подписи (HS256, RS256, ES256)
    • 
								

								

									{"alg":"HS256","typ":"JWT"}
								

							

						

					


					

						

							

								

									data_object
									
Payload (Полезная нагрузка)

								

								

									Содержит claims (утверждения) — данные о пользователе и метаданные:
								

								
    
									
  • Стандартные claims (sub, exp, iat)
    • 
									
  • Публичные claims (name, email, role)
    • 
									
  • Приватные claims (организационные данные)
    • 
								

							

						

					


					

						

							

								

									fingerprint
									
Signature (Подпись)

								

								

									Гарантирует целостность токена:
								

								
    
									
  • Создаётся из header + payload + secret
    • 
									
  • Защищает от подделки
    • 
									
  • Верифицируется на сервере
    • 
								

								

									HMACSHA256(...)
								

							

						

					

				


				

					settings
					Функции нашего JWT инструмента
				

				

					Наш инструмент предоставляет два основных режима работы для анализа и создания JWT токенов.
					Все операции выполняются локально в вашем браузере — токены не отправляются на сервер.
				


				

					unlock
					Режим Decode (Декодирование)
				

				

					

						

							Декодирование JWT позволяет разобрать токен на составные части и прочитать его содержимое.
							Это полезно для отладки, анализа токенов от сторонних сервисов и проверки структуры claims.
						

						

							

								
    
									
  • Encoded — вставьте полный JWT токен (три части через точку)
    • 
									
  • Header — автоматически извлекается и отображается JSON заголовка
    • 
									
  • Payload — автоматически извлекаются все claims токена
    • 
									
  • Verify Signature — опциональная проверка подписи с вашим secret ключом
    • 
								

							

							

								

									info
									Важно: Декодирование работает без секретного ключа.
									Подпись можно проверить только если вы знаете secret.
								

							

						

					

				


				

					lock
					Режим Encode (Создание токена)
				

				

					

						

							Создание JWT позволяет сгенерировать новый токен с заданными claims и подписью.
							Идеально для тестирования аутентификации, создания тестовых токенов и генерации примеров для документации.
						

						

							

								
    
									
  • Algorithm — выбор алгоритма подписи (HS256/HS384/HS512)
    • 
									
  • Secret Key — секретный ключ для подписи токена
    • 
									
  • Payload (JSON) — редактор claims в формате JSON
    • 
									
  • Quick Add Claims — быстрое добавление стандартных полей
    • 
								

							

							

								

									tips_and_updates
									Совет: Используйте кнопку Generate для создания случайного
									256-битного секретного ключа криптографического качества.
								

							

						

					

				


				

					assignment
					Стандартные JWT Claims (поля)
				

				

					Стандарт RFC 7519 определяет набор зарегистрированных claims для обеспечения совместимости между системами.
					Все зарегистрированные claims имеют короткие имена (3 символа) для компактности токена.
				


				

					

						
							

								Claim
								Название
								Описание
								Обязательно
							

						
						
							

								iss
								Issuer
								Издатель токена (идентификатор сервиса или организации)
								Опционально
							

							

								sub
								Subject
								Тема токена (обычно ID пользователя или уникальный идентификатор)
								Опционально
							

							

								aud
								Audience
								Получатель токена (для каких сервисов предназначен)
								Опционально
							

							

								exp
								Expiration Time
								Срок действия (Unix timestamp). Токен недействителен после этой даты
								Рекомендуется
							

							

								nbf
								Not Before
								Не активен до (Unix timestamp). Токен игнорируется до этой даты
								Опционально
							

							

								iat
								Issued At
								Время выпуска токена (Unix timestamp). Помогает отслеживать возраст токена
								Рекомендуется
							

							

								jti
								JWT ID
								Уникальный идентификатор токена. Используется для предотвращения повторного использования (replay attacks)
								Опционально
							

						
					

				


				

					lightbulb
					Совет: Всегда указывайте exp (срок действия) для токенов аутентификации.
					Типичное время жизни: 15-60 минут для access token, 7-30 дней для refresh token.
				


				

					security
					Алгоритмы подписи JWT
				

				

					Выбор алгоритма подписи критически важен для безопасности вашего приложения.
					Стандарт поддерживает несколько семейств алгоритмов, каждое из которых имеет свои особенности применения.
				


				

					

						

							

								

									key
									HMAC-SHA (Симметричные)
								

							

							

								

									Используют один секретный ключ для подписи и проверки.
									Подходят для сценариев, где один сервис и создаёт, и проверяет токены.
								

								
    
									
  • HS256 — HMAC-SHA256 (наиболее популярный, 256 бит)
    • 
									
  • HS384 — HMAC-SHA384 (повышенная безопасность)
    • 
									
  • HS512 — HMAC-SHA512 (максимальная защита)
    • 
								

								

									warning
									Внимание: Никогда не используйте alg: none в production!
									Это отключает проверку подписи полностью.
								

							

						

					


					

						

							

								

									lock
									RSA/ECDSA (Асимметричные)
								

							

							

								

									Используют пару ключей: приватный для подписи, публичный для проверки.
									Идеальны для микросервисов и сценариев с несколькими потребителями токенов.
								

								
    
									
  • RS256/RS384/RS512 — RSA с SHA (наиболее распространены)
    • 
									
  • ES256/ES384/ES512 — ECDSA с SHA (короче подписи, быстрее)
    • 
									
  • PS256/PS384/PS512 — RSA-PSS (усиленная защита)
    • 
								

								

									info
									Наш инструмент поддерживает только HMAC алгоритмы.
									Для RSA/ECDSA используйте специализированные инструменты.
								

							

						

					

				


				

					fact_check
					Область применения JWT
				

				

					JWT стал де-факто стандартом для современных веб-приложений и API.
					Ниже приведены основные сценарии использования с реальными примерами.
				


				

					

						

							

								

									person
									Аутентификация и авторизация
								

								

									Самый популярный сценарий. После успешного входа сервер создаёт JWT с claims пользователя
									(sub, name, role, exp) и возвращает клиенту. Клиент сохраняет токен и отправляет в заголовке
									Authorization: Bearer <token> с каждым запросом.
								

								

									Пример claims:

									{"sub":"12345","name":"John","role":"admin","exp":1735689600}
								

							

						

					


					

						

							

								

									swap_horiz
									Обмен данными между сервисами
								

								

									В микросервисной архитектуре JWT позволяет безопасно передавать контекст между сервисами
									без обращения к центральной базе данных. Каждый сервис может независимо проверить токен
									и извлечь информацию о пользователе.
								

								

									Преимущество: Stateless архитектура
								

							

						

					


					

						

							

								

									link
									Одноразовые ссылки
								

								

									Ссылки для сброса пароля, подтверждения email или приглашения в сервис можно реализовать
									через JWT. Токен содержит email пользователя и срок действия, что исключает необходимость
									хранения временных кодов в базе данных.
								

								

									Пример:

									https://app.com/reset?token=<jwt>
								

							

						

					


					

						

							

								

									api
									API Keys и доступ к ресурсам
								

								

									JWT можно использовать как временные API ключи с ограниченным сроком действия и конкретными
									правами доступа (scope). Это безопаснее статических ключей, которые никогда не истекают.
								

								

									Scope example:

									{"scope":"read:users write:posts"}
								

							

						

					

				


				

					history
					Историческая справка: эволюция JWT
				

				

					История JWT начинается с роста популярности REST API и мобильных приложений в начале 2010-х годов.
					Традиционные сессионные токены требовали хранения состояния на сервере, что становилось проблемой
					для масштабируемых распределённых систем.
				

				

					Ключевые вехи:
				

				
    
					
  • 2010 год —开始出现 первые реализации самодостаточных токенов в OAuth 2.0 экосистеме
    • 
					
  • 2012 год — компания Auth0 начала продвижение концепции JWT как универсального стандарта
    • 
					
  • Май 2015 — IETF опубликовал RFC 7519, официально стандартизировав JSON Web Token
    • 
					
  • 2016-2018 — массовое внедрение в веб-фреймворках (Spring Security, Passport.js, django-rest-framework)
    • 
					
  • 2020+ — JWT стал индустриальным стандартом для stateless аутентификации
    • 
				

				

					Название «JWT» произносится как «джот» (по-английски «jot» — чёрточка, запись), что отражает
					компактную природу токенов. Стандарт также определяет родственные спецификации:
					JWS
					(JSON Web Signature) для подписи и
					JWE
					(JSON Web Encryption) для шифрования содержимого.
				


				

					science
					Исследования и безопасность JWT
				

				

					Безопасность JWT активно исследуется академическим сообществом. Несколько критических уязвимостей
					было обнаружено в ранних реализациях, что привело к выработке лучших практик.
				


				

					

						

							report
							Известные атаки на JWT
						

						

							

								
    
									
  • 
										Algorithm Confusion (alg: none)
    
										Атакующий меняет алгоритм на «none» и удаляет подпись. Некоторые библиотеки
										автоматически принимали такие токены. ✓ Исправлено в современных версиях
									
    • 
									
  • 
										Key Confusion (RS256 → HS256)
    
										Если сервер использует RS256, атакующий может сменить на HS256 и подписать
										токен публичным ключом (который открыт). ✓ Требуется явное указание алгоритма
									
    • 
									
  • 
										Weak Secret Brute-Force
    
										Слабые секретные ключи (< 128 бит) могут быть подобраны перебором.
										Используйте генератор криптографически стойких ключей.
									
    • 
								

							

							

								
    
									
  • 
										JWT Injection
    
										Вставка опасных данных в claims без санитизации. Всегда валидируйте и
										экранируйте данные из токена.
									
    • 
									
  • 
										Token Leakage
    
										Утечка токенов через логи, referer, XSS. Храните токены в httpOnly cookies,
										не в localStorage.
									
    • 
									
  • 
										No Expiration
    
										Токены без срока действия (exp) действительны вечно. Всегда устанавливайте
										разумный TTL.
									
    • 
								

							

						

					

				


				

					Рекомендации по безопасности от OWASP:
				

				
    
					
  • Используйте секретные ключи минимум 256 бит (32 байта) для HMAC
    • 
					
  • Всегда проверяйте алгоритм подписи на стороне сервера
    • 
					
  • Устанавливайте короткий срок действия токенов (15-60 минут)
    • 
					
  • Используйте refresh token mechanism для обновления сессий
    • 
					
  • Реализуйте механизм отзыва токенов (token blacklist) для критических операций
    • 
					
  • Никогда не храните чувствительные данные (пароли, номера карт) в payload
    • 
				


				

					compare_arrows
					JWT vs Session Tokens: сравнительная таблица
				

				

					
								td>Высокая (любой сервис может проверить)
								td>Выше (полный контроль на сервере)

						
							

								Критерий
								JWT (Stateless)
								Session Token (Stateful)
							

						
						
							

								Хранение состояния
								Не требуется (данные в токене)
								Требуется (сессия на сервере)
							

							

								Масштабируемость
								Требует sticky sessions или Redis
							

							

								Размер токена
								Больше (содержит данные)
								Меньше (только идентификатор)
							

							

								Отзыв токена
								Сложный (нужен blacklist)
								Простой (удалить сессию)
							

							

								Производительность
								Выше (нет запроса к БД)
								Ниже (проверка сессии в БД/Redis)
							

							

								Безопасность
								Зависит от реализации
							

							

								Идеально для
								Микросервисы, API, мобильные приложения
								Монолиты, веб-приложения с сессиями
							

						
					

				


				

					security
					Важное замечание о безопасности
				

				

					warning
					

						Критически важно!
						
    
							
  • Этот инструмент декодирует JWT без проверки подписи. Любой может создать токен с любыми данными.
    • 
							
  • Никогда не доверяйте данным из токена без криптографической проверки подписи на стороне сервера.
    • 
							
  • Всегда используйте HTTPS для передачи токенов — они не шифруются по умолчанию.
    • 
							
  • Не храните чувствительные данные (пароли, номера карт, персональные данные) в payload JWT.
    • 
							
  • Для production используйте специализированные библиотеки (jsonwebtoken, jose, PyJWT) с правильными настройками безопасности.
    • 
						

					

				


				

					lightbulb
					Советы разработчикам
				

				

					

						

							tips_and_updates
							

								Лучшие практики:
								
    
									li>Используйте короткие access token (15-30 мин) + refresh token (7-30 дней)
									
  • Реализуйте ротацию refresh token для повышения безопасности
    • 
									
  • Добавляйте jti (JWT ID) для предотвращения replay attacks
    • 
									
  • Валидируйте iss (issuer) и aud (audience) на сервере
    • 
									
  • Логируйте все операции с токенами для аудита безопасности
    • 
								

							

						

					

					

						

							verified
							

								Конфиденциальность:
								

									Все операции с JWT выполняются исключительно в вашем браузере.
									Токены не отправляются на сервер, не сохраняются в логах и не передаются третьим лицам.
									Вы можете безопасно анализировать production токены без риска утечки.
								

							

						

					

				


				

					book
					Дополнительные ресурсы: