JWT Отладчик декодирует и проверяет JSON Web Tokens — разбирает заголовок, полезную нагрузку и подпись, отображает утверждения и отмечает статус истечения. Идеально подходит для отладки проблем аутентификации, проверки токенов OAuth/OIDC и проверки содержимого JWT без использования отдельного декодера или обращения к jwt.io.
JWT (JSON Web Token) — доминирующий формат для токенов аутентификации в современных API — OAuth, OIDC, токены сеанса и пользовательская аутентификация API. Но JWT выглядит как абракадабра: три строки, кодированные Base64URL, соединенные точками. JWT Отладчик анализирует эту строку на три части — заголовок (метаданные алгоритма), полезная нагрузка (утверждения) и подпись — декодирует каждую и отображает содержимое JSON с выделением синтаксиса. Полезная нагрузка анализируется на известные утверждения: iss (издатель), sub (субъект), exp (истечение), iat (выданные в), nbf (не раньше), aud (аудитория), jti (ID токена). Истечение преобразуется из временной метки Unix в удобный для человека формат и отмечается как действительное, истекшее или еще не действительное. Инструмент НЕ проверяет подпись — проверка подписи требует секретного ключа и выходит за рамки инструмента на стороне клиента — но он показывает именно то, что содержит токен, чтобы вы могли быстро отладить проблемы аутентификации.
Разделяет JWT на точки и Base64URL-декодирует каждый сегмент: заголовок, полезную нагрузку и подпись. Каждый показывается отдельно с выделением синтаксиса.
Отображает алгоритм (HS256, RS256, ES256) и тип токена. Быстро проверьте, какую схему подписания использует служба.
Анализирует полезную нагрузку JSON и отображает ее с цветовым кодированием ключей, строк, чисел и логических значений. Все утверждения видны с одного взгляда.
Проверяет временные метки exp (истечение), iat (выданные в) и nbf (не раньше). Отмечает, является ли токен действительным, истекшим или еще не активным — с удобочитаемыми временами.
Распознает зарегистрированные утверждения (iss, sub, aud, exp, iat, nbf, jti) и предоставляет быстрые справочные аннотации для их значения.
Необработанный токен показывается с каждым сегментом в отличительном цвете, чтобы вы могли визуально различить заголовок, полезную нагрузку и подпись.
Когда API возвращает 401 Unauthorized, вставьте токен, чтобы проверить, истек ли он, неправильно ли сформирован или выдан неправильным издателем.
Декодируйте маркеры доступа и ID, возвращаемые из потоков OAuth/OIDC, чтобы увидеть предоставленные области действия, удостоверение пользователя и истечение.
Подтвердите, что требуемые утверждения (роли, разрешения, ID тенанта) присутствуют в токене перед тем, как предполагать, что бэкэнд его примет.
Когда токен создается служба бэкэнда, декодируйте его, чтобы убедиться, что полезная нагрузка соответствует тому, что служба намеревалась выдать.
Во время проверки безопасности декодируйте токены, хранящиеся в localStorage или файлах cookie, чтобы оценить, какие конфиденциальные данные предоставляются на стороне клиента.
Щелкните значок JWT в панели DevSuite Pro. Панель откроется с полем ввода токена и тремя декодированными областями.
Вставьте любой JWT — из ответа API, заголовка Authorization, файла cookie или localStorage. Включите или опустите префикс «Bearer »; оба варианта работают.
Панель заголовка показывает алгоритм и тип. Подтвердите, что он использует схему, которую ожидает ваш бэкэнд (часто HS256 или RS256).
Панель полезной нагрузки показывает все утверждения с выделением синтаксиса. Стандартные утверждения (iss, sub, exp) отмечены своей целью.
Значок состояния показывает «Действительно», «Истекло» или «Еще не действительно». Если срок действия истек, токен, вероятно, является причиной отказа в аутентификации.
Установите DevSuite Pro бесплатно и разблокируйте более 64 инструментов разработчика для вашего браузера.
