JWT-dekooderi

JWT (JSON Web Token) on kompakti, URL-turvallinen tunniste, jota käytetään todennukseen ja osapuolten väliseen tiedonvaihtoon. JWT:n dekoodauksen avulla voit tarkastella otsikkoa (tokenin tyyppi ja algoritmi), hyötykuormaa (väitteet ja käyttäjätiedot) ja allekirjoitusta. Kehittäjät purkavat JWT:t autentikointiongelmien korjaamiseksi, käyttäjän oikeuksien tarkastamiseksi tai tunnisteen sisällön ymmärtämiseksi kehityksen aikana.

Liitä JWT-tunnuksesi syöttökenttään ja napsauta 'Decode JWT'. Työkalu jäsentää merkin välittömästi ja näyttää otsikon ja hyötykuorman luettavassa JSON-muodossa. Näet kaikki väitteet, voimassaoloajat, liikkeeseenlaskijan tiedot ja kaikki tokeniin tallennetut mukautetut tiedot.

Ei, tämä dekooderi näyttää vain JWT:n otsikon ja hyötykuorman sisällön - se ei tarkista allekirjoitusta. Allekirjoituksen tarkistaminen edellyttää salaista tai julkista avainta, jota ei saa koskaan jakaa tai syöttää verkkotyökaluihin. Varmista JWT:t aina palvelinpuolella käyttämällä asianmukaisia kirjastoja ja salaisia avaimia.

Puretussa JWT:ssä näkyy tyypillisesti seuraavat tiedot: tokenin tyyppi ja allekirjoitusalgoritmi otsakkeessa sekä väitteet, kuten "iss" (myöntäjä), "sub" (kohde), "aud" (yleisö), "exp" (vanhentumisaika), "iat" (issued at) ja mahdolliset mukautetut väitteet hyötykuormassa. Nämä tiedot auttavat sinua ymmärtämään, kuka on myöntänyt tokenin, milloin se vanhenee ja mitä oikeuksia tai tietoja se sisältää.

JWT:iden purkaminen asiakkaan puolella on yleensä turvallista, koska JWT:t on suunniteltu siten, että kuka tahansa voi lukea ne - ne ovat base64-koodattuja, eivät salattuja. Älä kuitenkaan koskaan purkaa erittäin arkaluonteisia tietoja sisältäviä JWT:itä julkisilla verkkotyökaluilla. Tämä työkalu käsittelee tokenit kokonaan selaimessa lähettämättä tietoja palvelimille, mutta vältä sen käyttöä arkaluonteisia tietoja sisältävien tuotantotunnisteiden kanssa.

JWT:t noudattavat vakiorakennetta, jossa on kolme base64-koodattua osaa, jotka on erotettu pisteillä: header.payload.signature. Otsikko kuvaa tunnisteen tyypin ja algoritmin, hyötykuorma sisältää väitteet ja tiedot, ja allekirjoitus varmistaa, ettei tunnusta ole peukaloitu. Tämä rakenne tekee JWT:stä kompaktin ja URL-turvallisen säilyttäen samalla tietoturvan.

Dekoodatut JWT:t sisältävät exp (expiration) -väitteen, joka on Unixin aikaleima. Vertaa tätä aikaleimaa nykyiseen aikaan - jos nykyinen aika on suurempi kuin exp-arvo, tunniste on vanhentunut. Dekooderi näyttää tämän aikaleiman luettavassa muodossa, jotta voit tarkistaa tunnisteen voimassaolon.

'iat' (issued at) kertoo, milloin tunniste on luotu, 'exp' (expiration time) kertoo, milloin se vanhenee, ja 'nbf' (not before) kertoo, milloin tunniste tulee voimaan. Näiden aikaleimojen avulla voidaan valvoa tunnisteen elinkaarta ja estää tunnisteen uudelleenkäyttö eri ajanjaksoilla.

Kyllä! OAuth 2.0 -käyttötunnisteet ja OpenID Connect -tunnisteet käyttävät usein JWT-muotoa. Niiden purkaminen paljastaa laajuudet, käyttöoikeudet, käyttäjätunnukset ja todennustiedot. Tämä on korvaamatonta autentikointivirtojen virheenkorjauksessa, myönnettyjen käyttöoikeuksien tarkistamisessa ja integrointiongelmien vianmäärityksessä.