JWT Инспектор и Верификатор

Декодирует header/payload JWT с подсветкой, диагностирует стандартные claims, проверяет подпись ключами HS*/RS*/PS*/ES*/EdDSA и показывает демо подделки

Вставьте компактный JWT (JWS), и инструмент:

  1. Декодирует header и payload (base64url) в читаемый JSON с подсветкой.
  2. Проверяет стандартные claims (exp / nbf / iat / iss / aud / sub / jti), отмечая истёкшие, ещё недействительные или отсутствующие.
  3. Проверяет подпись общим секретом (HS) или асимметричным публичным ключом PEM/JWK (RS/PS/ES/EdDSA).
  4. По желанию переподписывает изменённый payload вашим ключом, показывая, почему верификатор обязан фиксировать ожидаемый alg и отбрасывать токены, подписанные чужой стороной.

Замечания по безопасности:

  • Проверка выполняется на сервере через Node crypto; секрет/ключ не покидает запрос.
  • Токены с alg=none распознаются и никогда не считаются валидными.
  • Всегда принудительно задавайте ожидаемый алгоритм, issuer и audience на своём бэкенде; инструмент — для проверки и обучения.

Примеры результатов

1 Примеры

Декодировать и проверить тестовый HS256 токен

Покажет header, payload, диагностику claims и проверку подписи с общим секретом.

JWT decoded, claims diagnosed, signature verified against shared secret.
Показать параметры ввода
{ "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY", "mode": "verify", "secret": "demo-secret-2026", "publicKey": "", "forgePayload": "", "clockSkew": 0 }

Ключевые факты

Категория
Безопасность и валидация
Типы входных данных
textarea, select, text, number
Тип результата
html
Покрытие примерами
4
API доступен
Yes

Обзор

Удобный инструмент для декодирования и верификации JSON Web Tokens (JWT), который позволяет мгновенно разобрать заголовок и полезную нагрузку, проверить валидность стандартных claims и подтвердить подпись с использованием алгоритмов HS*, RS*, PS*, ES* или EdDSA.

Когда использовать

  • При необходимости быстро расшифровать содержимое JWT-токена и проверить значения claims, таких как время истечения (exp) или эмитент (iss).
  • Для отладки авторизации в веб-приложениях и проверки корректности подписи токена с помощью секретного ключа или публичного сертификата PEM/JWK.
  • Для тестирования уязвимостей безопасности API, включая симуляцию подделки полезной нагрузки (payload) и проверку реакции бэкенда.

Как это работает

  • Вставьте закодированный JWT-токен в текстовое поле ввода.
  • Выберите режим работы: только декодирование, полная верификация подписи или демонстрация подделки payload.
  • Укажите общий секрет для алгоритмов HS* или вставьте публичный ключ в формате PEM/JWK для асимметричных алгоритмов.
  • Нажмите кнопку выполнения, чтобы получить структурированный JSON с подсветкой синтаксиса, диагностику claims и статус проверки подписи.

Сценарии использования

Отладка интеграции OAuth2/OIDC путем анализа структуры токенов доступа (Access Tokens) и идентификаторов (ID Tokens).
Проверка корректности генерации JWT на стороне сервера авторизации перед его развертыванием в продакшн.
Обучение разработчиков принципам работы криптографических подписей и защите от атак на JWT.

Примеры

1. Проверка подписи токена HS256

Backend-разработчик
Контекст
Разработчик настраивает авторизацию в API и хочет убедиться, что сгенерированный токен корректно подписывается общим секретом.
Проблема
Необходимо проверить валидность claims и подпись токена HS256.
Как использовать
Вставьте JWT-токен в поле ввода, выберите режим "Проверить подпись" и укажите секретный ключ в поле "Общий секрет (HS*)".
Пример конфигурации
token: "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkphbmUgRG9lZSIsImlhdCI6MTUxNjIzOTAyMn0.yo-bLjjeUhUPia17JiJbc2f1e0JXJIJAi4auivcB-IY", mode: "verify", secret: "demo-secret-2026"
Результат
Инструмент декодирует заголовок и полезную нагрузку, подсвечивает claims и подтверждает успешную проверку подписи.

2. Анализ просроченного токена с публичным ключом RS256

Инженер по безопасности
Контекст
При аудите логов обнаружен токен, который вызывает ошибки авторизации у пользователей.
Проблема
Требуется выяснить причину отклонения токена и проверить его подпись с помощью публичного ключа PEM.
Как использовать
Вставьте проблемный JWT, выберите режим верификации и вставьте публичный ключ в поле "Публичный ключ PEM / JWK".
Пример конфигурации
token: "eyJhbGciOiJSUzI1NiIs...", mode: "verify", publicKey: "-----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA..."
Результат
Инструмент указывает на истекший claim "exp" (время действия) и подтверждает, что криптографическая подпись токена верна.

Проверить на примерах

json
Примеры JWT
Полные примеры JWT от базовой структуры токенов до продвинутых реализаций безопасности
title token jwt
json
JSON Примеры Terraform Plan
Файлы Terraform plan JSON для визуализации зависимостей и проверки изменений, похожие на terraform show -json
matched family json
json
Примеры Hex/Unicode Конвертера
Тестовые примеры для преобразования hex и unicode escape-последовательностей
matched family json
json
Примеры Коммуникации WebRTC в Реальном Времени
Комплексные примеры WebRTC для P2P аудио/видео коммуникации, каналов данных, обмена экраном и сервера сигнализации
matched family json
json

Связанные хабы

Инструменты JSON-обмена и перевода форматов
Сравните инструменты преобразования JSON для CSV, YAML, TOML, GraphQL, XML, Markdown, Excel, BSON, EDN и других структурированных форматов в одном хабе.
Инструменты для проверки, diff и преобразования JSON
Соберите в одном хабе инструменты для форматирования JSON, сравнения версий, проверки путей, валидации схем, объединения файлов и преобразования данных для API и data workflows.
Генераторы JSON-схем, mock-данных и API-fixture
Подборка инструментов для генерации JSON-схем, сборки mock-payload и подготовки API-fixture в одном хабе.
Инструменты форматирования, diff и нормализации JSON
Сравните инструменты форматирования JSON, diff, анализа логов, сравнения конфигураций и нормализации данных в одном хабе для удобной проверки JSON.

FAQ

Безопасно ли вводить секретные ключи на этом сайте?

Да, проверка выполняется на сервере с использованием Node crypto, и ваши ключи или токены не сохраняются и не передаются третьим лицам.

Какие алгоритмы подписи поддерживает верификатор?

Инструмент поддерживает симметричные алгоритмы HS256/384/512, а также асимметричные алгоритмы RS*, PS*, ES* и EdDSA.

Что происходит при обнаружении токена с алгоритмом alg=none?

Токены с алгоритмом none распознаются системой безопасности инструмента и никогда не признаются валидными.

Можно ли настроить допустимую разницу во времени при проверке claims?

Да, вы можете задать параметр "Допустимый сдвиг часов" в секундах для компенсации рассинхронизации времени на серверах.

Что показывает режим демонстрации подделки (forge)?

Он позволяет изменить payload и переподписать его вашим ключом, чтобы наглядно показать важность строгой проверки алгоритма на бэкенде.

Документация API

Конечная точка запроса

POST /ru/api/tools/jwt-inspector-verifier

Параметры запроса

Имя параметра Тип Обязательно Описание
token textarea Да -
mode select Нет -
secret text Нет -
publicKey textarea Нет -
forgePayload textarea Нет -
clockSkew number Нет -

Формат ответа

{
  "result": "
Processed HTML content
",
  "error": "Error message (optional)",
  "message": "Notification message (optional)",
  "metadata": {
    "key": "value"
  }
}
HTML: HTML

Документация MCP

Добавьте этот инструмент к конфигурации сервера MCP: 

{
  "mcpServers": {
    "elysiatools-jwt-inspector-verifier": {
      "name": "jwt-inspector-verifier",
      "description": "Декодирует header/payload JWT с подсветкой, диагностирует стандартные claims, проверяет подпись ключами HS*/RS*/PS*/ES*/EdDSA и показывает демо подделки",
      "baseUrl": "https://elysiatools.com/mcp/sse?toolId=jwt-inspector-verifier",
      "command": "",
      "args": [],
      "env": {},
      "isActive": true,
      "type": "sse"
    }
  }
}

Вы можете объединять несколько инструментов, например: `https://elysiatools.com/mcp/sse?toolId=png-to-webp,jpg-to-webp,gif-to-webp`, максимум 20 инструментов.

Если вы столкнулись с проблемами, пожалуйста, свяжитесь с нами по адресу [email protected]