🔑 JWT / Security

JWT Decoder — декодировать токен онлайн

Бесплатный онлайн-декодер JWT: header, payload, срок действия, алгоритм. Работает в браузере — токен не передаётся на сервер.

🔍 Что проверяет инструмент

Декодирует JWT (JSON Web Token) прямо в браузере без передачи на сервер. Показывает: header (алгоритм подписи, тип токена), payload (все claims: exp, iat, sub, iss, aud и пользовательские), signature в Base64URL. Определяет срок действия и предупреждает об истёкших токенах.

📊 Как интерпретировать результат

alg: none — критически опасный токен без подписи, сервер не должен принимать такие токены. Истёкший exp — токен должен быть отклонён сервером. Чувствительные данные в payload — они видны всем, кто имеет токен! JWT = подпись, не шифрование.

🛠 Как исправить проблему

Не храните пароли, PAN карт, приватные данные в payload — они лишь закодированы (Base64), а не зашифрованы. Всегда проверяйте exp и iss на сервере. Предпочитайте RS256/ES256 над HS256 для публичных API. Устанавливайте разумный срок жизни (15 мин для access, 7 дней для refresh).

🚀 Полный технический аудит

Проверьте сайт по 445+ параметрам за 2-5 минут — безопасность, SEO, кибербезопасность и многое другое.

Запустить бесплатный аудит →