Декодируйте header и payload JWT-токена.
Декодирование выполняется локально. Подпись токена не проверяется — инструмент только показывает содержимое.
JSON Web Token — компактный формат токена для авторизации. Внутри три части: header (заголовок с алгоритмом), payload (полезная нагрузка с данными о пользователе) и signature (подпись для проверки целостности). Части закодированы в Base64URL и разделены точками.
Инструмент извлекает header и payload и показывает их как читаемый JSON. Подпись не проверяется — для этого нужен секретный ключ сервиса, а декодер работает только с публичной частью.
Поле exp — время истечения (Unix timestamp). Если оно меньше текущего времени — токен просрочен. iat — время выдачи. sub или userId — обычно идентификатор пользователя. roles или scope — права. По этим полям обычно отлаживают авторизацию.
Нет. JWT — это эквивалент пароля: любой, у кого есть токен, может действовать от вашего имени до истечения срока. Не публикуйте токены в чате, на скриншотах и в багтрекерах.
Да, декодирование выполняется в браузере, токен не передаётся на сервер. Тем не менее, для отладки лучше использовать тестовые токены, а не боевые.
Проверка подписи требует секретного ключа сервиса, который выдал токен. У декодера этого ключа нет, поэтому показывается только содержимое.