JWT dekoderis

JWT (JSON žiniatinklio žetonas) - tai kompaktiškas, URL saugus žetonas, naudojamas autentifikavimui ir keitimuisi informacija tarp šalių. Dekoduojant JWT galima peržiūrėti antraštę (žetono tipą ir algoritmą), naudingąją apkrovą (teiginius ir naudotojo duomenis) ir parašą. Kūrėjai iššifruoja JWT, norėdami šalinti autentifikavimo problemas, tikrinti naudotojo leidimus arba suprasti žetono turinį kūrimo metu.

Tiesiog įklijuokite JWT simbolį į įvesties lauką ir spustelėkite "Dekoduoti JWT". Įrankis iš karto išanalizuos simbolį ir parodys antraštę bei naudingąją apkrovą skaitomu JSON formatu. Pamatysite visus žetone saugomus teiginius, galiojimo laiką, emitento informaciją ir bet kokius pasirinktinius duomenis.

Ne, šis dekoderis rodo tik JWT antraštės ir naudingosios apkrovos turinį - jis netikrina parašo. Parašui patikrinti reikalingas slaptasis arba viešasis raktas, kuriuo niekada nereikėtų dalytis arba įvesti į internetines priemones. Saugumo sumetimais JWT visada tikrinkite serverio pusėje naudodami tinkamas bibliotekas su slaptaisiais raktais.

Iššifruotame JWT paprastai nurodoma: žetono tipas ir pasirašymo algoritmas antraštėje; ir tokie teiginiai kaip "iss" (emitentas), "sub" (subjektas), "aud" (auditorija), "exp" (galiojimo laikas), "iat" (išduotas) ir bet kokie pasirinktiniai teiginiai naudingojoje apkrovoje. Ši informacija padeda suprasti, kas išdavė žetoną, kada jis nustoja galioti ir kokius leidimus ar duomenis jis turi.

JWT iššifravimas kliento pusėje paprastai yra saugus, nes JWT yra sukurti taip, kad juos galėtų perskaityti bet kas - jie yra užkoduoti base64 kodu, o ne užšifruoti. Tačiau niekada neiššifruokite JWT, kuriuose yra labai slaptų duomenų, naudodami viešus internetinius įrankius. Šis įrankis apdoroja žetonus tik naršyklėje, nesiųsdamas duomenų į serverius, tačiau venkite jį naudoti su gamybiniais žetonais, kuriuose yra jautrios informacijos.

JWT turi standartinę struktūrą, kurią sudaro trys taškais atskirtos bazinės64 koduotės dalys: antraštė.naudingoji apkrova.parašas. Antraštėje aprašomas žetono tipas ir algoritmas, naudingoji apkrova apima teiginius ir duomenis, o parašas užtikrina, kad žetonas nebuvo suklastotas. Dėl šios struktūros JWT yra kompaktiški ir saugūs URL, tačiau išlaiko saugumą.

Iššifruotuose JWT yra "exp" (galiojimo pabaigos) teiginys, kuris yra "Unix" laiko žyma. Palyginkite šią laiko žymą su dabartiniu laiku - jei dabartinis laikas yra ilgesnis už exp reikšmę, žetono galiojimo laikas baigėsi. Dekoderis šią laiko žymą rodo skaitomu formatu, kad būtų lengviau patikrinti žetono galiojimą.

"iat" (issued at) rodo, kada simbolis buvo sukurtas, "exp" (expiration time) - kada baigiasi jo galiojimo laikas, o "nbf" (not before) - kada simbolis pradeda galioti. Šios laiko žymos padeda kontroliuoti žetonų gyvavimo ciklą ir užkirsti kelią pakartotiniam žetonų naudojimui skirtingais laikotarpiais.

Taip! "OAuth 2.0" prieigos žetonuose ir "OpenID Connect" ID žetonuose dažnai naudojamas JWT formatas. Juos iššifravus atskleidžiamos apimtys, leidimai, naudotojo identifikatoriai ir autentifikavimo duomenys. Tai neįkainojama derinant autentifikavimo srautus, tikrinant suteiktus leidimus ir sprendžiant integracijos problemas.