Any-Tools.net
محول مجاني

فك ترميز رمز JWT

فك ترميز رأس وحمولة JWT (رمز JSON للويب) فوراً في متصفحك. مجاني، خاص، ومعالجة على جانب العميل — لا يُرسل أي بيانات إلى خادم.

أدوات ذات صلة

عرض جميع الأدوات

مشفر URL / فك التشفير

قم بترميز وفك ترميز عناوين URL ومكونات URI على الفور في متصفحك. مجاني وخاص ولا يتطلب رفع ملفات.

مشفّر Base64 / فك التشفير

شفّر النصوص أو الملفات إلى Base64 وفك تشفير سلاسل Base64 فوراً في متصفحك. مجاني وخاص ولا يتطلب رفع ملفات.

منسق JSON والتحقق منه

نسّق وتحقق من صحة JSON على الفور في متصفحك. لا حاجة للتحميل — خاص تمامًا ومجاني.

منسق XML والمدقق

قم بتنسيق وتجميل والتحقق من XML فوراً في متصفحك. لا حاجة للرفع — خصوصية كاملة ومجاني.

حول هذه الأداة

JSON Web Tokens (JWT) عبارة عن تنسيق مضغوط وآمن لعنوان URL لنقل المطالبات بين طرفين، تم تعريفه بواسطة RFC 7519. JWT عبارة عن ثلاثة أجزاء مشفرة بـ base64url مفصولة بنقاط: الرأس (نوع الخوارزمية والرمز المميز)، والحمولة (المطالبات)، والتوقيع (إثبات التشفير للأصالة). الرأس والحمولة هما JSON، بترميز base64url لسلامة عنوان URL؛ يستخدم التوقيع إحدى الخوارزميات العديدة (HS256، RS256، ES256، وغيرها) على الرأس والحمولة المشفرة.

لا يتطلب فك تشفير JWT - تقسيمه إلى أجزاء وفك تشفير كل منها باستخدام Base64 - أي سر. يمكن لأي شخص لديه نص الرمز المميز قراءة رأسه وحمولته. ومع ذلك، لا يمكن التحقق من التوقيع إلا باستخدام المفتاح السري (HMAC) أو المفتاح العام (غير المتماثل). فك التشفير للتفتيش. التحقق هو ما يثبت صحة.

يقوم جهاز فك التشفير هذا بتقسيم الرمز المميز، وفك تشفير Base64 لكل مقطع، وتحليل الرأس والحمولة كـ JSON، وإظهار النتيجة. ولا يحاول التحقق من التوقيع لأن ذلك يتطلب المفتاح السري أو العام الذي لا يمتلكه جهاز فك التشفير. الإخراج الذي تم فك تشفيره هو فحص للقراءة فقط - مفيد لتصحيح الأخطاء ولكنه ليس بديلاً للتحقق المناسب في رمز التطبيق.

لماذا فك تشفير JWTs

تتضمن مشكلات تصحيح أخطاء المصادقة دائمًا فحص الرموز المميزة. قد يحتوي الرمز المميز الذي يبدو صالحًا في التعليمات البرمجية على مطالبات خاطئة أو خوارزمية غير متوقعة أو طابع زمني منتهي الصلاحية أو عدم تطابق الجمهور. يكشف فك تشفير الرمز المميز بالضبط عما أنتجه المُصدر.

يساعد أيضًا فحص الرموز المميزة أثناء عمل التكامل. عند الاتصال بواجهة برمجة تطبيقات أو موفر هوية تابع لجهة خارجية، يتم فهم أسماء المطالبة الفعلية وتنسيقاتها وبنيتها بشكل أفضل من خلال فك تشفير نماذج الرموز المميزة بدلاً من الاعتماد على الوثائق التي قد تكون قديمة.

كيفية الاستخدام

الصق الرمز المميز، واحصل على المحتويات التي تم تحليلها.

  1. الصق ملف JWT الخاص بك: قم بإسقاط الرمز المميز الكامل (header.payload.signature) في منطقة الإدخال. تقبل وحدة فك التشفير الرموز المميزة مع أو بدون بادئة Bearer الاختيارية.
  2. افحص الرأس: يعرض الرأس خوارزمية التوقيع (alg) ونوع الرمز المميز (typ). الخوارزميات الشائعة هي HS256، وRS256، وES256. انتبه لـ alg: none، الذي يشير إلى رمز مميز غير موقّع ونادرًا ما يكون آمنًا في الإنتاج.
  3. فحص الحمولة: تحتوي الحمولة على المطالبات: iss (المصدر)، sub (الموضوع)، aud (الجمهور)، exp (انتهاء الصلاحية)، iat (الصادر في)، وأي مطالبات خاصة بالتطبيق. الطوابع الزمنية القياسية هي ثواني عصر يونكس.
  4. التحقق بشكل منفصل: وحدة فك التشفير لا تتحقق من التوقيع. للتحقق من الأصالة، قم بتشغيل الرمز المميز من خلال مكتبة JWT باستخدام المفتاح السري أو العام المناسب في رمز التطبيق الخاص بك.

حالات الاستخدام الشائعة

التفاصيل الفنية

تنسيق JWT عبارة عن ثلاثة أجزاء متصلة بالنقاط. يتم ترميز كل مقطع باستخدام base64url — وهو البديل الآمن لعنوان URL لـ base64 الذي يستخدم - و_ بدلاً من + و/، مع حذف الحشو أحيانًا. يتطلب فك التشفير التراجع عن بدائل URL الآمنة، وحشو المقطع، وفك تشفير base64.

الرأس والحمولة هما JSON بعد فك التشفير. مقطع التوقيع ثنائي (بايتات التوقيع الخام) ولا يمكن قراءته بواسطة الإنسان؛ يتطلب مفتاح التحقق ليكون مفيدًا.

المطالبات الشائعة المحددة في RFC 7519: iss (المصدر)، sub (معرف الموضوع)، aud (الجمهور)، exp (انتهاء الصلاحية كثواني عصر Unix)، nbf (ليس قبل الطابع الزمني)، iat (تم إصداره عند الطابع الزمني)، jti (معرف الرمز المميز الفريد). يمكن أن تظهر المطالبات الخاصة بالتطبيقات بأي اسم.

أفضل الممارسات

الأسئلة الشائعة

هل من الآمن لصق JWT الخاص بي هنا؟
نعم. يتم فك التشفير بالكامل في متصفحك — ولا يتم إرسال الرمز المميز إلى أي خادم على الإطلاق. ومع ذلك، فإن JWTs عبارة عن بيانات اعتماد - لا تشاركها علنًا (في لقطات الشاشة، ومنشورات Stack Overflow، وما إلى ذلك) لأنها قد تمنح حق الوصول إلى حساباتك.
هل تتحقق هذه الأداة من توقيع JWT؟
تقوم هذه الأداة بفك تشفير محتويات الرمز المميز وعرضها. يتطلب التحقق من التوقيع المفتاح السري (HMAC) أو المفتاح العام (RSA/ECDSA)، والذي يجب أن يبقى على الخادم الخاص بك. تعرض الأداة الخوارزمية المستخدمة ولكن لا يمكنها التحقق بدون المفتاح.
ماذا تعني مطالبات JWT القياسية؟
iss = المُصدر، sub = الموضوع (معرف المستخدم)، exp = وقت انتهاء الصلاحية (الطابع الزمني Unix)، iat = صدر في، nbf = ليس قبل، aud = الجمهور، jti = معرف JWT. يمكن أن تحتوي المطالبات المخصصة على أي بيانات خاصة بالتطبيق.
لماذا يمكن لأي شخص فك تشفير JWT؟
JWTs مشفرة وليست مشفرة. الحمولة مشفرة بـ Base64URL (غير مشفرة)، لذا يمكن لأي شخص قراءتها. التوقيع يمنع العبث وليس القراءة. لا تقم مطلقًا بتخزين البيانات الحساسة (كلمات المرور وأرقام الضمان الاجتماعي) في حمولات JWT.
لماذا تفتقد بعض الرموز المميزة التوقيع؟
الرموز مع alg: لا يوجد أي توقيع. إنها JWTs صالحة حسب المواصفات ولكنها لا تقدم أي ضمانات للأصالة ولا ينبغي قبولها في الإنتاج.
هل JWTs مشفرة؟
يتم توقيع حمولات JWT القياسية ولكنها غير مشفرة. JWE (JSON Web Encryption, RFC 7516) هو تنسيق منفصل للرموز المميزة المشفرة. معظم JWTs الموجودة في البرية هي JWS (موقعة فقط).
هل تم تحميل الرمز المميز الخاص بي إلى الخادم؟
لا، فك التشفير يحدث في متصفحك؛ الرمز لا يترك جهازك.
ما هي مدة JWTs عادةً؟
في أي مكان من بضع مئات إلى عدة آلاف من الأحرف. يعتمد الطول على عدد وحجم المطالبات بالإضافة إلى طول التوقيع (الذي يعتمد على الخوارزمية).

Related Articles

Developer

Essential Developer Tools: JSON, Base64, RegEx, and More

A comprehensive overview of the developer utilities every programmer should know, from data format converters to encoding tools.

9 min readDeveloper & Security

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Understand the differences between hashing, encryption, and encoding. Learn when to use MD5, SHA-256, Base64, AES, and other cryptographic tools in your applications.

10 min readData & Productivity

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Learn how to convert between spreadsheet and data formats like Excel, CSV, JSON, and XML. Practical tips for handling data migration, cleaning, and transformation.

10 min readPrivacy & Technology

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk

Discover why browser-based tools are replacing desktop software and cloud uploads. Learn how client-side processing keeps your files private while delivering powerful functionality.

7 min read