Dekodér JWT

Token JWT (JSON Web Token) je kompaktný, bezpečný token URL, ktorý sa používa na overovanie a výmenu informácií medzi stranami. Dekódovanie JWT umožňuje zobraziť hlavičku (typ tokenu a algoritmus), užitočné zaťaženie (tvrdenia a údaje používateľa) a podpis. Vývojári môžu dekódovať tokeny JWT na ladenie problémov s overovaním, kontrolu oprávnení používateľov alebo pochopenie obsahu tokenu počas vývoja.

Jednoducho vložte token JWT do vstupného poľa a kliknite na tlačidlo "Dekódovať JWT". Nástroj okamžite analyzuje token a zobrazí hlavičku a užitočné zaťaženie v čitateľnom formáte JSON. Uvidíte všetky nároky, časy vypršania platnosti, informácie o vydavateľovi a všetky vlastné údaje uložené v tokene.

Nie, tento dekodér zobrazuje iba obsah hlavičky a užitočného zaťaženia JWT - neoveruje podpis. Overenie podpisu vyžaduje tajný alebo verejný kľúč, ktorý by sa nikdy nemal zdieľať ani zadávať do online nástrojov. V záujme bezpečnosti vždy overujte JWT na strane servera pomocou príslušných knižníc s vašimi tajnými kľúčmi.

Dekódovaný JWT zvyčajne obsahuje: typ tokenu a podpisový algoritmus v hlavičke a tvrdenia ako "iss" (emitent), "sub" (subjekt), "aud" (publikum), "exp" (čas vypršania platnosti), "iat" (vydaný v) a akékoľvek vlastné tvrdenia v užitočnom zaťažení. Tieto informácie vám pomôžu pochopiť, kto token vydal, kedy vyprší jeho platnosť a aké oprávnenia alebo údaje obsahuje.

Dekódovanie súborov JWT na strane klienta je vo všeobecnosti bezpečné, pretože súbory JWT sú navrhnuté tak, aby ich mohol čítať ktokoľvek - sú kódované base64, nie šifrované. Nikdy však nedekódujte súbory JWT obsahujúce veľmi citlivé údaje pomocou verejných online nástrojov. Tento nástroj spracúva tokeny výhradne v prehliadači bez odosielania údajov na servery, ale vyhnite sa jeho používaniu s produkčnými tokeny obsahujúcimi citlivé informácie.

JWT majú štandardnú štruktúru s tromi časťami v kóde base64 oddelenými bodkami: header.payload.signature. Záhlavie opisuje typ tokenu a algoritmus, užitočné zaťaženie obsahuje tvrdenia a údaje a podpis zabezpečuje, že token nebol pozmenený. Vďaka tejto štruktúre sú JWT kompaktné a bezpečné pre URL, pričom sa zachováva bezpečnosť.

Dekódované JWT obsahujú tvrdenie "exp" (expiration), čo je časová značka Unixu. Túto časovú značku porovnajte s aktuálnym časom - ak je aktuálny čas väčší ako hodnota exp, platnosť tokenu vypršala. Dekodér zobrazuje túto časovú pečiatku v čitateľnom formáte, aby vám pomohol overiť platnosť tokenu.

"iat" (issued at) udáva, kedy bol token vytvorený, "exp" (expiration time) udáva, kedy vyprší jeho platnosť, a "nbf" (not before) udáva, kedy token nadobúda platnosť. Tieto časové značky pomáhajú kontrolovať životný cyklus tokenu a zabraňujú opakovanému použitiu tokenu v rôznych časových obdobiach.

Áno! Prístupové tokeny OAuth 2.0 a ID tokeny OpenID Connect často používajú formát JWT. Ich dekódovaním sa odhaľujú rozsahy, oprávnenia, identifikátory používateľov a podrobnosti o overovaní. To je neoceniteľné pri ladení autentifikačných tokov, overovaní udelených oprávnení a riešení problémov s integráciou.