JWT-ni bura yapışdırmaq təhlükəsizdirmi?

Bəli. Deşifrə tamamilə brauzerinizdə baş verir - nişan heç vaxt heç bir serverə göndərilmir. Bununla belə, JWT-lər etimadnamələrdir — onları açıq şəkildə paylaşmayın (skrinşotlarda, Stack Overflow postlarında və s.), çünki onlar hesablarınıza giriş icazəsi verə bilər.

Bu alət JWT imzasını yoxlayırmı?

Bu alət mö'cüzə məzmununu deşifrə edir və göstərir. İmzanın yoxlanılması üçün gizli açar (HMAC) və ya açıq açar (RSA/ECDSA) tələb olunur ki, bu da serverinizdə qalmalıdır. Alət istifadə olunan alqoritmi göstərir, lakin açar olmadan yoxlaya bilməz.

Standart JWT iddiaları nə deməkdir?

iss = emitent, sub = mövzu (istifadəçi ID), exp = bitmə vaxtı (Unix vaxt damğası), iat = buraxılış vaxtı, nbf = əvvəl deyil, aud = auditoriya, jti = JWT ID. Fərdi iddialar hər hansı tətbiqə aid məlumatları ehtiva edə bilər.

Niyə kimsə JWT-ni deşifrə edə bilər?

JWT-lər şifrələnmir, şifrələnir. Faydalı yük Base64URL ilə kodlaşdırılıb (şifrlənməyib), ona görə də hər kəs onu oxuya bilər. İmza oxunmanın deyil, saxtakarlığın qarşısını alır. Heç vaxt həssas məlumatları (parollar, SSN-lər) JWT yüklərində saxlamayın.

Niyə bəzi tokenlərdə imza yoxdur?

Alg ilə tokenlər: heç birinin imzası yoxdur. Onlar spesifikasiyaya görə etibarlı JWT-lərdir, lakin heç bir orijinallıq zəmanəti vermir və istehsalda qəbul edilməməlidir.

JWT-lər şifrələnirmi?

Standart JWT yükləri imzalanır, lakin şifrələnmir. JWE (JSON Web Encryption, RFC 7516) şifrələnmiş tokenlər üçün ayrıca formatdır. Təbiətdəki əksər JWT-lər JWS-dir (yalnız imzalanmışdır).

Tokenim serverə yüklənib?

Xeyr. Deşifrə brauzerinizdə baş verir; token cihazınızı tərk etmir.

JWT-lər adətən nə qədərdir?

Bir neçə yüzdən bir neçə min simvola qədər hər yerdə. Uzunluq iddiaların sayı və ölçüsündən və imza uzunluğundan (alqoritmdən asılıdır) asılıdır.

JWT Token Dekoder | Any-Tools.net

Bu alət haqqında

JSON Veb Tokenləri (JWT) RFC 7519 tərəfindən müəyyən edilmiş iki tərəf arasında iddiaların ötürülməsi üçün kompakt, URL-təhlükəsiz formatdır. JWT nöqtələrlə ayrılmış üç base64url kodlu seqmentdir: başlıq (alqoritm və işarə növü), faydalı yük (iddialar) və imza (auttentoqrafik sübut). Başlıq və faydalı yük JSON-dur, URL təhlükəsizliyi üçün base64url kodludur; imza kodlanmış başlıq və faydalı yük üzərində bir neçə alqoritmdən (HS256, RS256, ES256 və s.) birini istifadə edir.

JWT-nin deşifrə edilməsi - onu seqmentlərə bölmək və hər birinin base64-də şifrəsini açmaq - heç bir sirr tələb etmir. Token mətni olan hər kəs onun başlığını və faydalı yükünü oxuya bilər. Bununla belə, imza yalnız gizli (HMAC) və ya açıq açarla (asimmetrik) yoxlanıla bilər. Deşifrə yoxlama üçündür; doğruluğu sübut edən yoxlamadır.

Bu dekoder işarəni bölür, base64-hər seqmenti deşifrə edir, başlığı və faydalı yükü JSON kimi təhlil edir və nəticəni göstərir. O, imzanın yoxlanılmasına cəhd etmir, çünki bu, dekoderdə olmayan məxfi və ya açıq açarı tələb edir. Şifrədən çıxarılan çıxış yalnız oxunmaq üçün yoxlanışdır – tokenləri aradan qaldırmaq üçün faydalıdır, lakin proqram kodunda düzgün yoxlamanı əvəz etmir.

Niyə JWT-ləri deşifrə edin

Doğrulama problemlərinin aradan qaldırılması demək olar ki, həmişə tokenlərin yoxlanılmasını əhatə edir. Kodda etibarlı görünən nişanda səhv iddialar, gözlənilməz alqoritm, vaxtı keçmiş vaxt damğası və ya auditoriya uyğunsuzluğu ola bilər. Tokenin dekodlanması emitentin nə istehsal etdiyini dəqiq göstərir.

İnteqrasiya işləri zamanı tokenləri yoxlamaq da kömək edir. Üçüncü tərəf API və ya identifikasiya provayderinə qoşulduqda, faktiki iddia adları, formatları və strukturu köhnəlmiş sənədlərə etibar etməkdənsə, nümunə nişanlarının deşifrə edilməsi ilə daha yaxşı başa düşülür.

Necə istifadə etməli

Tokeni yapışdırın, təhlil edilmiş məzmunu əldə edin.

JWT-ni yapışdırın: Tam nişanı (başlıq.payload.imza) daxiletmə sahəsinə buraxın. Dekoder isteğe bağlı Daşıyıcı prefiksi olan və ya olmayan tokenləri qəbul edir.
Başlığı yoxlayın: Başlıq imzalama alqoritmini (alg) və işarə növünü (tip) göstərir. Ümumi alqoritmlər HS256, RS256 və ES256-dır. İmzasız işarəni göstərən və istehsalda nadir hallarda təhlükəsiz olan alg: heç biri üçün baxın.
Yükü yoxlayın: Faydalı yük iddiaları ehtiva edir: iss (emitent), sub (mövzu), aud (auditoriya), müddəti (müddəti bitmə), iat (verildiyi ünvan) və hər hansı tətbiqə aid iddialar. Standart vaxt ştampları Unix epoch saniyələridir.
Ayrı-ayrılıqda yoxlayın: Dekoder imzanı yoxlamır. Həqiqiliyi yoxlamaq üçün nişanı tətbiq kodunuzda müvafiq sirr və ya açıq açarla JWT kitabxanasından keçirin.

Ümumi istifadə halları

Vaxtı keçmiş nişan xətalarının sazlanması — Tokenin dekodlanması exp iddiasını ortaya qoyur. Müddəti bitmənin faktiki səbəb olub olmadığını təsdiqləmək üçün cari vaxtla müqayisə edin.
Üçüncü tərəf tokeninin iddia strukturunu başa düşmək — İdentifikasiya təminatçıları (Auth0, Okta, Cognito) provayderə məxsus iddia planları ilə tokenlər verir. Nümunə nişanlarının dekodlanması faktiki strukturu göstərir.
İnteqrasiya zamanı tokenlərin yoxlanılması — SSO və ya OAuth axınlarını birləşdirərkən, hər addımda tokenlərin dekodlanması məlumatların gözlənildiyi kimi formalaşdığını yoxlamağa kömək edir.
Həssas məlumatlar üçün token məzmununun yoxlanılması — Tokenlər standart olaraq şifrələnmir; faydalı yük oxunur. Mövcud tokenlərin dekodlanması həssas məlumatların təsadüfən daxil edilmədiyini təsdiqləməyə kömək edir.
Auditoriya və emitent iddialarının yoxlanılması — Token qarışıqlığına qarşı müdafiə düzgün aud və iss idarə edilməsini tələb edir. Test zamanı tokenlərin dekodlanması bu iddiaların düzgün doldurulduğunu təsdiqləyir.

Texniki Detallar

JWT formatı nöqtələrlə birləşdirilən üç seqmentdir. Hər bir seqment base64url kodludur — baza64-ün URL üçün təhlükəsiz variantı + və / əvəzinə - və _ istifadə edir, bəzən doldurulma buraxılır. Şifrənin açılması URL üçün təhlükəsiz əvəzetmələrin ləğv edilməsini, seqmentin doldurulmasını və base64 kodunun açılmasını tələb edir.

Başlıq və faydalı yük deşifrədən sonra JSON-dur. İmza seqmenti binardır (xam imza baytları) və insan tərəfindən oxunmur; doğrulama açarının faydalı olmasını tələb edir.

RFC 7519-da müəyyən edilmiş ümumi iddialar: iss (emitent), sub (mövzu identifikatoru), aud (auditoriya), exp (Unix epoch saniyələri kimi sona çatma), nbf (zaman damğasından əvvəl deyil), iat (vaxt damğası zamanı buraxılmış), jti (unikal nişan ID). Tətbiqə xüsusi iddialar istənilən adla görünə bilər.

Ən yaxşı təcrübələr

Heç vaxt təsdiqlənməmiş JWT-yə etibar etməyin — Deşifrə yalnız məzmunu aşkar edir; həqiqiliyini sübut etmir. İddialara etibar etməzdən əvvəl həmişə tətbiq kodundakı müvafiq açarla imzanı yoxlayın.
Alg üçün baxın: yoxdur — Alg ilə tokenlər: heç birinin imzası yoxdur. Onları qəbul edən proqram kodu saxtakarlığa həssasdır. Doğrulama konfiqurasiyanızda həmişə xüsusi alqoritm tələb edin.
Faydalı yüklərdə həssas data ilə ehtiyatlı olun — JWT yükləri tokeni olan hər kəs tərəfindən oxuna bilər. Əgər məxfi olması lazım olan məlumatları ehtiva edirsə, faydalı yükü şifrələyin (JWE istifadə edin).
Emaldan əvvəl exp-i təsdiqləyin — İmza etibarlı olsa belə, vaxtı keçmiş token rədd edilməlidir. JWT kitabxanaları adətən exp-i avtomatik yoxlayır; kitabxananızın olduğunu yoxlayın.

Tez-tez verilən suallar

JWT-ni bura yapışdırmaq təhlükəsizdirmi?: Bəli. Deşifrə tamamilə brauzerinizdə baş verir - nişan heç vaxt heç bir serverə göndərilmir. Bununla belə, JWT-lər etimadnamələrdir — onları açıq şəkildə paylaşmayın (skrinşotlarda, Stack Overflow postlarında və s.), çünki onlar hesablarınıza giriş icazəsi verə bilər.
Bu alət JWT imzasını yoxlayırmı?: Bu alət mö'cüzə məzmununu deşifrə edir və göstərir. İmzanın yoxlanılması üçün gizli açar (HMAC) və ya açıq açar (RSA/ECDSA) tələb olunur ki, bu da serverinizdə qalmalıdır. Alət istifadə olunan alqoritmi göstərir, lakin açar olmadan yoxlaya bilməz.
Standart JWT iddiaları nə deməkdir?: iss = emitent, sub = mövzu (istifadəçi ID), exp = bitmə vaxtı (Unix vaxt damğası), iat = buraxılış vaxtı, nbf = əvvəl deyil, aud = auditoriya, jti = JWT ID. Fərdi iddialar hər hansı tətbiqə aid məlumatları ehtiva edə bilər.
Niyə kimsə JWT-ni deşifrə edə bilər?: JWT-lər şifrələnmir, şifrələnir. Faydalı yük Base64URL ilə kodlaşdırılıb (şifrlənməyib), ona görə də hər kəs onu oxuya bilər. İmza oxunmanın deyil, saxtakarlığın qarşısını alır. Heç vaxt həssas məlumatları (parollar, SSN-lər) JWT yüklərində saxlamayın.
Niyə bəzi tokenlərdə imza yoxdur?: Alg ilə tokenlər: heç birinin imzası yoxdur. Onlar spesifikasiyaya görə etibarlı JWT-lərdir, lakin heç bir orijinallıq zəmanəti vermir və istehsalda qəbul edilməməlidir.
JWT-lər şifrələnirmi?: Standart JWT yükləri imzalanır, lakin şifrələnmir. JWE (JSON Web Encryption, RFC 7516) şifrələnmiş tokenlər üçün ayrıca formatdır. Təbiətdəki əksər JWT-lər JWS-dir (yalnız imzalanmışdır).
Tokenim serverə yüklənib?: Xeyr. Deşifrə brauzerinizdə baş verir; token cihazınızı tərk etmir.
JWT-lər adətən nə qədərdir?: Bir neçə yüzdən bir neçə min simvola qədər hər yerdə. Uzunluq iddiaların sayı və ölçüsündən və imza uzunluğundan (alqoritmdən asılıdır) asılıdır.

JWT Token Dekoder

Əlaqədar Alətlər

URL kodlayıcı / Dekoder

Base64 Kodlayıcı / Dekoder

JSON Formatlayıcı & Təsdiqləyici

XML Formatlayıcı & Təsdiqləyici

Bu alət haqqında

Niyə JWT-ləri deşifrə edin

Necə istifadə etməli

Ümumi istifadə halları

Texniki Detallar

Ən yaxşı təcrübələr

Tez-tez verilən suallar

Related Articles

Essential Developer Tools: JSON, Base64, RegEx, and More

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk