JWT-avkodare

En JWT (JSON Web Token) är en kompakt, URL-säker token som används för autentisering och informationsutbyte mellan parter. Genom att avkoda en JWT kan du visa rubriken (token-typ och algoritm), nyttolasten (anspråk och användardata) och signaturen. Utvecklare avkodar JWT:er för att avhjälpa autentiseringsproblem, inspektera användarbehörigheter eller förstå tokeninnehåll under utveckling.

Klistra bara in din JWT-token i inmatningsfältet och klicka på "Decode JWT". Verktyget kommer omedelbart att analysera token och visa rubriken och nyttolasten i läsbart JSON-format. Du ser alla anspråk, utgångstider, utgivarinformation och eventuella anpassade data som lagras i token.

Nej, den här avkodaren visar bara innehållet i JWT:ns rubrik och nyttolast - den verifierar inte signaturen. För signaturverifiering krävs den hemliga eller offentliga nyckeln, som aldrig ska delas eller anges i onlineverktyg. Av säkerhetsskäl bör du alltid verifiera JWT:er på serversidan med hjälp av lämpliga bibliotek och dina hemliga nycklar.

En avkodad JWT visar vanligtvis: token-typen och signeringsalgoritmen i huvudet; och påståenden som "issuer" (utfärdare), "sub" (ämne), "aud" (publik), "exp" (utgångstid), "iat" (utfärdad vid) och eventuella anpassade påståenden i nyttolasten. Den här informationen hjälper dig att förstå vem som utfärdade token, när den upphör att gälla och vilka behörigheter eller data den innehåller.

Avkodning av JWT:er på klientsidan är i allmänhet säkert eftersom JWT:er är utformade för att kunna läsas av vem som helst - de är base64-kodade, inte krypterade. Avkoda dock aldrig JWT:er som innehåller mycket känsliga data med hjälp av offentliga onlineverktyg. Det här verktyget bearbetar tokens helt i din webbläsare utan att skicka data till servrar, men undvik att använda det med produktionstokens som innehåller känslig information.

JWT följer en standardstruktur med tre base64-kodade delar åtskilda av punkter: header.payload.signature. Headern beskriver token-typen och algoritmen, nyttolasten innehåller påståenden och data, och signaturen säkerställer att token inte har manipulerats. Denna struktur gör JWT:er kompakta och URL-säkra samtidigt som säkerheten bibehålls.

Avkodade JWT:er innehåller ett "exp"-krav (expiration), som är en Unix-tidsstämpel. Jämför denna tidsstämpel med den aktuella tiden - om den aktuella tiden är större än exp-värdet har token löpt ut. Avkodaren visar denna tidsstämpel i läsbart format för att hjälpa dig att verifiera tokenens giltighet.

"iat" (issued at) visar när token skapades, "exp" (expiration time) anger när den löper ut och "nbf" (not before) anger när token blir giltig. Dessa tidsstämplar hjälper till att kontrollera tokenens livscykel och förhindra att token återanvänds under olika tidsperioder.

Ja, det stämmer! OAuth 2.0-åtkomsttokens och OpenID Connect ID-tokens använder ofta JWT-format. Avkodning av dem avslöjar scopes, behörigheter, användaridentifierare och autentiseringsdetaljer. Detta är ovärderligt för felsökning av autentiseringsflöden, verifiering av beviljade behörigheter och felsökning av integrationsproblem.