JWT-декодер: header, payload и подпись

Вставьте JWT — и сразу увидите расшифрованные header и payload, а время exp/iat — в человекочитаемом виде. Токен разбирается в браузере, ничего не отправляется на сервер.

🔓 Вставьте токен

🧠 Как устроен JWT

JWT (JSON Web Token) — это три части, разделённые точками: header.payload.signature. Первые две — обычный JSON, закодированный в base64url (поэтому их видно всем, кто получил токен). Третья — подпись: она не шифрует данные, а позволяет серверу проверить, что токен не подменили.

eyJhbG… . eyJzdW… . SflKxw… Header alg, typ base64url JSON Payload sub, exp, iat… base64url JSON Подпись HMAC / RSA защита от подмены

Декодировать JWT может кто угодно — это не шифрование. Никогда не храните в payload пароли и секреты. Подлинность даёт только проверка подписи на сервере по секретному ключу.