Dekoder JWT

JWT (JSON Web Token) je kompakten, varen žeton URL, ki se uporablja za preverjanje pristnosti in izmenjavo informacij med strankami. Z dekodiranjem JWT si lahko ogledate glavo (vrsto žetona in algoritem), koristni tovor (trditve in podatke o uporabniku) in podpis. Razvijalci dekodirajo JWT, da odpravijo težave z avtentikacijo, pregledajo uporabniška dovoljenja ali razumejo vsebino žetona med razvojem.

Preprosto prilepite žeton JWT v vnosno polje in kliknite "Dekodiranje JWT". Orodje bo takoj razčlenilo žeton ter prikazalo glavo in koristni tovor v berljivi obliki JSON. Videli boste vse zahtevke, čas veljavnosti, informacije o izdajatelju in vse podatke po meri, shranjene v žetonu.

Ne, ta dekoder prikaže samo vsebino glave in koristnega tovora JWT, podpisa pa ne preveri. Za preverjanje podpisa je potreben tajni ali javni ključ, ki ga nikoli ne smete deliti ali vnašati v spletna orodja. Zaradi varnosti JWT vedno preverjajte na strani strežnika z uporabo ustreznih knjižnic s svojimi tajnimi ključi.

Dekodirani JWT običajno vsebuje: vrsto žetona in algoritem podpisovanja v glavi ter trditve, kot so "iss" (izdajatelj), "sub" (subjekt), "aud" (občinstvo), "exp" (čas izteka), "iat" (izdano v) in vse trditve po meri v koristnem tovoru. Te informacije vam pomagajo razumeti, kdo je izdal žeton, kdaj poteče njegova veljavnost in katera dovoljenja ali podatke vsebuje.

Dekodiranje JWT na strani odjemalca je na splošno varno, saj so JWT zasnovani tako, da jih lahko prebere vsakdo - kodirani so v base64 in ne šifrirani. Vendar nikoli ne dekodirajte JWT, ki vsebujejo zelo občutljive podatke, z uporabo javnih spletnih orodij. To orodje v celoti obdela žetone v brskalniku, ne da bi poslalo podatke strežnikom, vendar ga ne uporabljajte s produkcijskimi žetoni, ki vsebujejo občutljive podatke.

JWT imajo standardno strukturo s tremi deli v kodiranju base64, ki so ločeni s pikami: header.payload.signature. Glava opisuje vrsto žetona in algoritem, koristni tovor vsebuje zahteve in podatke, podpis pa zagotavlja, da žeton ni bil prirejen. Zaradi te strukture so zapisi JWT kompaktni in varni za URL, hkrati pa ohranjajo varnost.

Dekodirani JWT vsebujejo trditev 'exp' (iztek veljavnosti), ki je časovni žig Unixa. Ta časovni žig primerjajte s trenutnim časom - če je trenutni čas večji od vrednosti exp, je žeton potekel. Dekoder prikaže ta časovni žig v berljivi obliki, da vam pomaga preveriti veljavnost žetona.

"iat" (issued at) kaže, kdaj je bil žeton ustvarjen, "exp" (expiration time) označuje, kdaj poteče, "nbf" (not before) pa določa, kdaj žeton postane veljaven. Ti časovni žigi pomagajo nadzorovati življenjski cikel žetona in preprečujejo ponovno uporabo žetona v različnih časovnih obdobjih.

Da! Žetoni za dostop OAuth 2.0 in ID-žetoni OpenID Connect pogosto uporabljajo format JWT. Z dekodiranjem lahko razkrijete obsege, dovoljenja, identifikatorje uporabnikov in podrobnosti o avtentikaciji. To je neprecenljivo za odpravljanje napak v tokovih avtentikacije, preverjanje dodeljenih dovoljenj in odpravljanje težav pri integraciji.