JWT Tools — декодування, перевірка та підпис

Декодуйте JWT, перевіряйте підписи HS, RS та ES за допомогою секрета чи відкритого ключа PEM і підписуйте нові токени HS — повністю у вашому браузері.

Завантаження інструмента…

JWT Tools — декодування, перевірка та підписУніверсальний набір інструментів для JSON Web Token із трьома режимами — декодування, перевірка та підпис. Декодування гарно форматує заголовок і корисне навантаження токена, перевірка звіряє підпис за допомогою секрета HMAC (HS256/384/512) чи відкритого ключа PEM (RS256/384/512, ES256/384/512), а підпис створює новий токен із підписом HS з вашого заголовка, корисного навантаження та секрета. Кожна операція виконується повністю на боці клієнта через вбудований у браузер Web Crypto API, тож токени, секрети та ключі ніколи не залишають ваш пристрій.

Що таке JWT Tools — декодування, перевірка та підпис?

JWT Tools — це безкоштовна універсальна утиліта для JSON Web Token, яка поєднує декодер, перевірку підпису та підписувач HS в одному місці. У режимі декодування вона декодує токен header.payload.signature з base64url і гарно виводить заголовок та корисне навантаження у вигляді форматованого JSON. У режимі перевірки вона зчитує alg із заголовка токена та звіряє підпис за допомогою Web Crypto API: спільний секрет HMAC для HS256, HS384 і HS512 або відкритий ключ у форматі PEM для RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) та ES256/ES384/ES512 (ECDSA). У режимі підпису вона створює та підписує за допомогою HMAC цілком новий токен із заголовка JSON, корисного навантаження JSON, обраного алгоритму HS і секрета. Її створено для backend- і frontend-інженерів, QA-тестувальників та інтеграторів API, які налагоджують автентифікацію, сесії OAuth/OIDC і термін дії токенів, не вставляючи секрети у віддалений сервіс.

Як користуватися JWT Tools — декодування, перевірка та підпис

  1. Виберіть режим угорі: декодування, перевірка або підпис.
  2. Декодування: вставте JWT (header.payload.signature) у поле токена та прочитайте гарно відформатовані заголовок і корисне навантаження нижче — перевірка підпису тут не виконується.
  3. Перевірка: вставте токен, потім вставте секрет HMAC (для алгоритмів HS) або відкритий ключ PEM (для RS/ES) у поле ключа; інструмент зчитує alg із заголовка та показує зелений результат «дійсний» або червоний «недійсний».
  4. Підпис: введіть заголовок JSON і корисне навантаження JSON, виберіть HS256, HS384 або HS512, введіть свій секрет і скопіюйте щойно підписаний токен, який зʼявиться.
  5. Скористайтеся кнопкою «Копіювати» для будь-якого виводу або «Очистити», щоб скинути введення декодування.

Приклади

Декодувати токен

Вхідні дані

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0In0.sig

Результат

Header:
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload:
{
  "sub": "1234"
}

Перевірити токен HS256

Вхідні дані

token: eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIn0.<sig>
secret: your-256-bit-secret

Результат

valid (HS256)

Підписати новий токен HS256

Вхідні дані

header: {}
payload: { "sub": "1234567890", "name": "Jane Doe" }
secret: your-256-bit-secret

Результат

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lIn0.<signature>

Поширені запитання

Чи завантажуються мої токени, секрети та ключі кудись?
Ні. Кожен режим працює повністю на боці клієнта у вашому браузері, використовуючи вбудований Web Crypto API (crypto.subtle) для HMAC і перевірки підпису, а також base64url і JSON у JavaScript. Ніщо — ні токен, ні секрет, ні ключ PEM — ніколи не надсилається на жоден сервер, що робить безпечною роботу з робочими обліковими даними.
Які алгоритми він може перевіряти?
Перевірка підтримує HS256, HS384 і HS512 зі спільним секретом HMAC, а також RS256/RS384/RS512 (RSASSA-PKCS1-v1_5) та ES256/ES384/ES512 (ECDSA) з відкритим ключем у форматі PEM. Він автоматично зчитує поле alg із заголовка токена, тож вам достатньо надати відповідний секрет або відкритий ключ.
Якими алгоритмами він може підписувати?
Режим підпису створює лише токени з підписом HMAC — HS256, HS384 або HS512 — із вашого заголовка JSON, корисного навантаження JSON і секрета. Для підпису RSA та ECDSA потрібен закритий ключ, і це виходить за межі цього інструмента; для RS/ES ви все одно можете виконати перевірку з відповідним відкритим ключем у режимі перевірки.
Чи перевіряє підпис режим декодування?
Ні. Декодування лише декодує з base64url і гарно виводить заголовок та корисне навантаження — воно ніколи не перевіряє підпис. Перемкніться в режим перевірки та вкажіть секрет чи відкритий ключ, щоб підтвердити справжність токена, і ніколи не довіряйте декодованому корисному навантаженню, доки його підпис не перевірено.
Чому перевірка повідомляє про недійсність або помилку?
«Недійсний» означає, що підпис не збігся з наданим вами секретом чи ключем. «Помилка», натомість, означає, що введення не вдалося обробити — наприклад, у токена відсутній сегмент підпису, alg не підтримується або не вдалося розібрати відкритий ключ PEM. Переконайтеся, що ви вставили повний токен і правильний ключ для його алгоритму.

Схожі інструменти

Шифрування тексту AES (AES-GCM + PBKDF2)

Шифруйте та розшифровуйте текст за допомогою AES-256-GCM, використовуючи ключ, виведений із парольної фрази (PBKDF2 SHA-256, випадкова сіль), повністю у вашому браузері та без завантажень.

Хеш Argon2 і scrypt

Хешуйте пароль за допомогою Argon2id або scrypt і перевіряйте хеш Argon2 на відповідність паролю — повністю у вашому браузері.

Генератор і перевірник bcrypt-хешів

Створюйте bcrypt-хеш пароля з відкритого тексту з обраним фактором вартості або перевіряйте пароль за наявним bcrypt-хешем — повністю у вашому браузері.

Генератор мнемонічних фраз BIP39

Згенеруйте випадкову фразу відновлення BIP39 з 12–24 слів кількома мовами або перетворіть наявну мнемонічну фразу назад на її вихідну ентропію — повністю у вашому браузері.