JWT dekodētājs

JWT (JSON Web Token) ir kompakts, URL drošs žetons, ko izmanto autentifikācijai un informācijas apmaiņai starp pusēm. JWT dekodēšana ļauj apskatīt galveni (marķiera tips un algoritms), ielādi (prasības un lietotāja dati) un parakstu. Izstrādātāji dekodē JWT, lai atkodētu autentifikācijas problēmas, pārbaudītu lietotāja atļaujas vai izprastu token saturu izstrādes laikā.

Vienkārši ielīmējiet savu JWT token ievades laukā un noklikšķiniet uz "Dekodēt JWT". Rīks nekavējoties analizēs žetonu un parādīs galveni un ielādi lasāmā JSON formātā. Jūs redzēsiet visas prasības, derīguma termiņus, informāciju par emitentu un visus žetonā saglabātos pielāgotos datus.

Nē, šis dekodētājs parāda tikai JWT galvenes un ielādes saturu, bet parakstu nepārbauda. Paraksta verifikācijai ir nepieciešama slepenā atslēga vai publiskā atslēga, ko nedrīkst kopīgot vai ievadīt tiešsaistes rīkos. Lai nodrošinātu drošību, JWT vienmēr pārbaudiet servera pusē, izmantojot atbilstošas bibliotēkas un savas slepenās atslēgas.

Dekodētā JWT parasti ir redzams: marķiera tips un parakstīšanas algoritms galvenē; un tādas norādes kā "iss" (izdevējs), "sub" (subjekts), "aud" (auditorija), "exp" (derīguma termiņš), "iat" (izdevējs) un jebkuras pielāgotas norādes ielādes kravnē. Šī informācija palīdz saprast, kas izdevis žetonu, kad beidzas tā derīguma termiņš un kādas atļaujas vai datus tas satur.

JWT dekodēšana klienta pusē parasti ir droša, jo JWT ir izstrādāti tā, lai tos varētu nolasīt jebkurš - tie ir kodēti ar base64, nevis šifrēti. Tomēr nekad nedekodējiet JWT, kas satur ļoti sensitīvus datus, izmantojot publiskus tiešsaistes rīkus. Šis rīks pilnībā apstrādā žetonus pārlūkprogrammā, nenosūtot datus uz serveriem, taču izvairieties to izmantot ar ražošanas žetoniem, kas satur sensitīvu informāciju.

JWT ir standarta struktūra ar trim base64 kodētām daļām, kas atdalītas ar punktiem: header.payload.signature. Virsrakstā ir aprakstīts marķiera tips un algoritms, lietderīgā slodze satur pretenzijas un datus, un paraksts nodrošina, ka marķieris nav viltots. Šāda struktūra padara JWT kompaktus un URL drošus, vienlaikus saglabājot drošību.

Dekodētajos JWT ir "exp" (expiration) apgalvojums, kas ir Unix laika zīmogs. Salīdziniet šo laika zīmogu ar pašreizējo laiku - ja pašreizējais laiks ir lielāks par "exp" vērtību, žetona derīguma termiņš ir beidzies. Dekodētājs parāda šo laika zīmogu lasāmā formātā, lai palīdzētu jums pārbaudīt žetona derīgumu.

"iat" (issued at) norāda, kad žetons tika izveidots, "exp" (expiration time) norāda, kad tā derīguma termiņš beidzas, un "nbf" (not before) norāda, kad žetons kļūst derīgs. Šie laika zīmogi palīdz kontrolēt žetonu dzīves ciklu un novērst atkārtotu žetonu izmantošanu dažādos laika periodos.

Jā! OAuth 2.0 piekļuves žetonos un OpenID Connect ID žetonos bieži tiek izmantots JWT formāts. To atšifrēšana atklāj darbības jomas, atļaujas, lietotāja identifikatorus un autentifikācijas informāciju. Tas ir nenovērtējami, lai atkļūdotu autentifikācijas plūsmas, pārbaudītu piešķirtās atļaujas un novērstu integrācijas problēmas.