Что такое JSON Web Token (JWT)?
JSON Web Token (JWT) — это открытый стандарт (RFC 7519), который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON. Эту информацию можно проверить, так как она подписана цифровой подписью. JWT могут быть подписаны с использованием секретного ключа (алгоритм HMAC) или пары открытого/закрытого ключей (RSA или ECDSA).
Почему локальное декодирование критично
Разработчики часто используют онлайн-сервисы для декодирования JWT. Однако многие из них отправляют ваш токен на свои серверы. Если вы вставите токен из рабочей среды, содержащий конфиденциальные данные пользователя или активной сессии, вы фактически передаете доступ третьим лицам.
Наш локальный декодер решает эту проблему. Используя только клиентский JavaScript, мы гарантируем, что ваш токен обрабатывается исключительно на вашем устройстве. Никакие сетевые запросы не отправляются. Никакие данные не передаются.
Структура JWT
В компактной форме JWT состоит из трех частей, разделенных точками (.):
- Заголовок (Header): Обычно состоит из типа токена (JWT) и используемого алгоритма подписи, например, HMAC SHA256 или RSA.
- Полезная нагрузка (Payload): Содержит утверждения (claims) — информацию о пользователе и дополнительные данные. Существует три типа утверждений: зарегистрированные, публичные и частные.
- Подпись (Signature): Для создания подписи используются закодированный заголовок, закодированная полезная нагрузка, секретный ключ и указанный в заголовке алгоритм.
: Хотя вы можете декодировать заголовок и полезную нагрузку JWT без секретного ключа, вы не сможете проверить подлинность токена. Наш инструмент намеренно пропускает проверку подписи, оставаясь полностью офлайн-инструментом, что защищает ваши ключи проверки от передачи в интернет.