Декодер JWT
Расшифруйте JWT токены, просматривайте заголовок и полезную нагрузку. Проверяйте подписи и изучайте содержимое токена в удобном формате.
Вставьте любой JSON Web Token ниже, чтобы декодировать его. Ваш токен обрабатывается только в текущей сессии — мы не записываем и не сохраняем его.
Используйте этот инструмент из вашего ИИ-агента
Бесплатные JSON API и сервер Model Context Protocol (MCP). Без регистрации, без API-ключа, CORS открыт. Создано для Claude, ChatGPT, Cursor, скриптов и фронтенд-приложений.
curl -X POST https://mate.tools/api/v1/jwt-decode.php \
-H "Content-Type: application/json" \
-d '{"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}'import urllib.request, json
req = urllib.request.Request(
"https://mate.tools/api/v1/jwt-decode.php",
data=json.dumps({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}).encode(),
headers={"Content-Type": "application/json"},
)
with urllib.request.urlopen(req) as r:
print(json.load(r))const r = await fetch("https://mate.tools/api/v1/jwt-decode.php", {
method: "POST",
headers: { "Content-Type": "application/json" },
body: JSON.stringify({"token":"eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjMifQ.signature","secret":"your-256-bit-secret"}),
});
console.log(await r.json()); Добавьте в claude_desktop_config.json (Claude Desktop), ~/.cursor/mcp.json (Cursor) или любой другой MCP-совместимый клиент:
{
"mcpServers": {
"mate-tools": {
"command": "npx",
"args": ["-y", "@mate-tools/mcp-server"]
}
}
}Как использовать
- Вставьте ваш токен JWT в поле ввода выше.
- Нажмите Декодировать, чтобы просмотреть заголовок, полезную нагрузку и подпись.
- Для проверки подписи укажите секрет (HS256/384/512) или открытый ключ (RS256/384/512).
- Проверьте статус истечения, чтобы узнать, активен ли токен.
Основные функции
- Декодирует заголовок и полезную нагрузку JWT одним кликом
- Проверяет подписи HS256, HS384, HS512 с использованием секрета
- Проверяет подписи RS256, RS384, RS512 с использованием открытого ключа
- Показывает временные метки истечения, начала действия и выдачи в удобочитаемом формате
- Токен никогда не записывается и не хранится на наших серверах
Распространённые случаи использования
- Отладка потоков аутентификации в вашем приложении
- Проверка токенов, возвращаемых поставщиком OAuth или OpenID Connect
- Проверка срока действия токена доступа
- Проверка того, что токен был подписан ожидаемым издателем
Часто задаваемые вопросы
JWT — это компактный, безопасный для URL способ представления клеймов между двумя сторонами. Он состоит из трёх частей — заголовка, полезной нагрузки и подписи — разделённых точками. JWT широко используются в аутентификации и авторизации (OAuth 2.0, OpenID Connect, единый вход).
Да — токен отправляется на наш сервер только для того, чтобы PHP мог его декодировать и (опционально) проверить подпись. Токен никогда не записывается, никогда не сохраняется и никогда не записывается на диск. Он существует только в памяти на время запроса.
Мы проверяем HS256, HS384, HS512 (HMAC с SHA-2), когда вы предоставляете общий секрет, и RS256, RS384, RS512 (RSA с SHA-2), когда вы предоставляете открытый ключ издателя в формате PEM. Другие алгоритмы (ES256, EdDSA и т. д.) декодируются, но не проверяются.
Клейм exp (истечение) — это временная метка Unix, после которой токен больше не должен приниматься. Истёкший JWT должен быть отклонён сервером, даже если подпись действительна. Используйте refresh-токен для получения нового токена доступа.
Нет. Декодирование JWT только читает его содержимое — это не доказывает, что токен подлинный. Перед доверием любому клейму внутри него вы всегда должны проверять подпись с помощью секрета или открытого ключа издателя.
