JWT-dekoder

En JWT (JSON Web Token) er et kompakt, URL-sikkert token, der bruges til autentificering og informationsudveksling mellem parter. Ved at afkode en JWT kan du se headeren (token-type og algoritme), payload (krav og brugerdata) og signatur. Udviklere afkoder JWT'er for at afhjælpe godkendelsesproblemer, inspicere brugertilladelser eller forstå tokenindholdet under udviklingen.

Du skal blot indsætte dit JWT-token i inputfeltet og klikke på "Afkod JWT". Værktøjet analyserer straks tokenet og viser header og payload i et læsbart JSON-format. Du kan se alle krav, udløbstider, udstederoplysninger og eventuelle brugerdefinerede data, der er gemt i tokenet.

Nej, denne dekoder viser kun indholdet af JWT'ens header og payload - den verificerer ikke signaturen. Signaturverificering kræver den hemmelige eller offentlige nøgle, som aldrig bør deles eller indtastes i onlineværktøjer. Af sikkerhedshensyn skal du altid verificere JWT'er på serversiden ved hjælp af passende biblioteker med dine hemmelige nøgler.

En afkodet JWT viser typisk: token-typen og signeringsalgoritmen i headeren; og krav som 'issuer' (udsteder), 'sub' (emne), 'aud' (publikum), 'exp' (udløbstid), 'iat' (udstedt ved) og eventuelle brugerdefinerede krav i payloaden. Disse oplysninger hjælper dig med at forstå, hvem der har udstedt tokenet, hvornår det udløber, og hvilke tilladelser eller data det indeholder.

Afkodning af JWT'er på klientsiden er generelt sikkert, da JWT'er er designet til at kunne læses af alle - de er base64-kodede, ikke krypterede. Du må dog aldrig afkode JWT'er, der indeholder meget følsomme data, ved hjælp af offentlige onlineværktøjer. Dette værktøj behandler tokens helt i din browser uden at sende data til servere, men undgå at bruge det med produktionstokens, der indeholder følsomme oplysninger.

JWT'er følger en standardstruktur med tre base64-kodede dele adskilt af prikker: header.payload.signature. Headeren beskriver token-typen og algoritmen, payloaden indeholder krav og data, og signaturen sikrer, at tokenet ikke er blevet manipuleret. Denne struktur gør JWT'er kompakte og URL-sikre, samtidig med at sikkerheden opretholdes.

Afkodede JWT'er indeholder et 'exp'-krav (udløb), som er et Unix-tidsstempel. Sammenlign dette tidsstempel med det aktuelle tidspunkt - hvis det aktuelle tidspunkt er større end exp-værdien, er tokenet udløbet. Dekoderen viser dette tidsstempel i et læsbart format for at hjælpe dig med at verificere tokenets gyldighed.

'iat' (issued at) viser, hvornår tokenet blev oprettet, 'exp' (expiration time) angiver, hvornår det udløber, og 'nbf' (not before) angiver, hvornår tokenet bliver gyldigt. Disse tidsstempler hjælper med at kontrollere tokenets livscyklus og forhindrer genbrug af tokenet på tværs af forskellige tidsperioder.

Ja, det er det! OAuth 2.0-adgangstokens og OpenID Connect ID-tokens bruger ofte JWT-format. Afkodning af dem afslører scopes, tilladelser, brugeridentifikatorer og godkendelsesdetaljer. Dette er uvurderligt til fejlfinding af godkendelsesflows, verificering af tildelte tilladelser og fejlfinding af integrationsproblemer.