Да ли је безбедно налепити мој ЈВТ овде?

Да. Декодирање се у потпуности дешава у вашем претраживачу — токен се никада не шаље ни на један сервер. Међутим, ЈВТ-ови су акредитиви — не делите их јавно (на снимцима екрана, објавама за преливање стека, итд.) јер они могу одобрити приступ вашим налозима.

Да ли овај алат проверава ЈВТ потпис?

Овај алат декодира и приказује садржај токена. Верификација потписа захтева тајни кључ (ХМАЦ) или јавни кључ (РСА/ЕЦДСА), који треба да остане на вашем серверу. Алат показује коришћени алгоритам, али не може да провери без кључа.

Шта значе стандардне ЈВТ тврдње?

исс = издавач, суб = субјект (ИД корисника), екп = време истека (Уник временска ознака), иат = издато у, нбф = не пре, ауд = публика, јти = ЈВТ ИД. Прилагођени захтеви могу да садрже било које податке специфичне за апликацију.

Зашто ико може декодирати ЈВТ?

ЈВТ-ови су кодирани, а не шифровани. Корисно оптерећење је кодирано Басе64УРЛ (није шифровано), тако да свако може да га прочита. Потпис спречава манипулисање, а не читање. Никада немојте чувати осетљиве податке (лозинке, ССН-ове) у ЈВТ корисним подацима.

Зашто неким токенима недостаје потпис?

Токени са алг: ниједан немају потпис. Они су важећи ЈВТ-ови по спецификацији, али не дају гаранције за аутентичност и не би требало да буду прихваћени у производњи.

Да ли су ЈВТ шифровани?

Стандардни ЈВТ корисни терети су потписани, али нису шифровани. ЈВЕ (ЈСОН Веб Енцриптион, РФЦ 7516) је посебан формат за шифроване токене. Већина ЈВТ-ова у дивљини су ЈВС (само потписани).

Да ли је мој токен учитан на сервер?

Не. Декодирање се дешава у вашем претраживачу; токен не напушта ваш уређај.

Колико су ЈВТ обично дуги?

Било где од неколико стотина до неколико хиљада знакова. Дужина зависи од броја и величине захтева плус дужина потписа (која зависи од алгоритма).

ЈВТ Токен Декодер

О овом алату

ЈСОН веб токени (ЈВТ) су компактан формат безбедан на УРЛ-у за преношење захтева између две стране, дефинисан РФЦ 7519. ЈВТ су три басе64урл кодирана сегмента раздвојена тачкама: заглавље (алгоритам и тип токена), корисни терет (тврдње) и потпис (доказ аутентичности шифровања). Заглавље и корисни терет су ЈСОН, басе64урл кодирани ради сигурности УРЛ-а; потпис користи један од неколико алгоритама (ХС256, РС256, ЕС256 и други) преко кодираног заглавља и корисног оптерећења.

Декодирање ЈВТ-а — његово раздвајање на сегменте и басе64-декодирање сваког — не захтева никакву тајну. Свако са текстом токена може прочитати његово заглавље и корисни терет. Потпис, међутим, може бити верификован само помоћу тајног (ХМАЦ) или јавног кључа (асиметрично). Дешифровање је за увид; верификација је оно што доказује аутентичност.

Овај декодер дели токен, басе64 декодира сваки сегмент, анализира заглавље и корисни терет као ЈСОН и приказује резултат. Не покушава верификацију потписа јер је за то потребан тајни или јавни кључ, који декодер нема. Декодирани излаз је инспекција само за читање — корисна за отклањање грешака у токенима, али није замена за исправну верификацију у коду апликације.

Зашто декодирати ЈВТ-ове

Отклањање грешака у аутентификацији скоро увек укључује проверу токена. Токен који изгледа важеће у коду може да има погрешне тврдње, неочекивани алгоритам, истекао временску ознаку екп или неподударање публике. Декодирање токена открива тачно шта је издавалац произвео.

Провера токена током интеграцијског рада такође помаже. Када се повезујете са АПИ-јем треће стране или добављачем идентитета, стварна имена потраживања, формати и структура најбоље се разумеју декодирањем узорака токена, а не ослањањем на документацију која је можда застарела.

Како користити

Налепите токен, преузмите рашчлањени садржај.

Налепите свој ЈВТ: Испустите цео токен (хеадер.паилоад.сигнатуре) у област за унос. Декодер прихвата токене са или без опционог префикса носиоца.
Прегледајте заглавље: Заглавље приказује алгоритам за потписивање (алг) и тип токена (тип). Уобичајени алгоритми су ХС256, РС256 и ЕС256. Пазите на алг: ноне, који сигнализира непотписани токен и ретко је безбедан у производњи.
Прегледајте терет: Корисни терет садржи захтеве: издање (издавач), суб (предмет), ауд (публика), екп (истек), иат (издато у) и сва потраживања специфична за апликацију. Стандардне временске ознаке су секунде Уник епохе.
Провери одвојено: Декодер не проверава потпис. Да бисте проверили аутентичност, покрените токен кроз ЈВТ библиотеку са одговарајућим тајним или јавним кључем у коду апликације.

Уобичајени случајеви употребе

Отклањање грешака са истеклим токеном — Декодирање токена открива захтев екп. Упоредите са тренутним временом да бисте потврдили да ли је исти узрок стварни.
Разумевање структуре потраживања токена треће стране — Провајдери идентитета (Аутх0, Окта, Цогнито) издају токене са изгледима захтева специфичним за провајдера. Декодирање узорака токена показује стварну структуру.
Провера токена током интеграције — Када се интегришу ССО или ОАутх токови, декодирање токена у сваком кораку помаже да се провери да ли су подаци обликовани према очекивањима.
Ревизија садржаја токена за осетљиве податке — Токени нису подразумевано шифровани; носивост је читљива. Декодирање постојећих токена помаже да се потврди да осетљиви подаци нису случајно укључени.
Провера тврдњи публике и издавача — Одбрана од конфузије токена захтева правилно руковање ауди и исс. Декодирање токена током тестирања потврђује да су ове тврдње исправно попуњене.

Тецхницал Детаилс

ЈВТ формат је три сегмента спојена тачкама. Сваки сегмент је кодиран басе64урл — УРЛ безбедна варијанта басе64 која користи - и _ уместо + и /, са допуном понекад изостављеном. Декодирање захтева поништавање замена безбедних за УРЛ, попуњавање сегмента и декодирање басе64.

Заглавље и корисни терет су ЈСОН након декодирања. Сегмент потписа је бинарни (необрађени бајтови потписа) и није читљив људима; потребан је кључ за верификацију да би био користан.

Уобичајени захтеви дефинисани у РФЦ 7519: исс (издавач), суб (идентификатор субјекта), ауд (публика), екп (истек као секунде Уник епохе), нбф (не-пре временске ознаке), иат (издато у временској жиги), јти (јединствени ИД токена). Захтеви специфични за апликацију могу се појавити са било којим именом.

Најбоље праксе

Никада не верујте непровереном ЈВТ-у — Декодирање само открива садржај; не доказује аутентичност. Увек проверите потпис одговарајућим кључем у коду апликације пре него што верујете тврдњама.
Пази на алг: нема — Токени са алг: ниједан немају потпис. Код апликације који их прихвата је подложан фалсификовању. Увек захтевајте одређени алгоритам у конфигурацији верификације.
Будите опрезни са осетљивим подацима у корисним оптерећењима — Корисни терет ЈВТ може да прочита свако са токеном. Шифрујте корисни терет (користите ЈВЕ) ако садржи податке који морају бити тајни.
Потврдите екп пре обраде — Токен који је истекао треба одбити чак и ако је потпис важећи. ЈВТ библиотеке обично аутоматски проверавају екп; проверите да ли ваша библиотека ради.

Често постављана питања

Да ли је безбедно налепити мој ЈВТ овде?: Да. Декодирање се у потпуности дешава у вашем претраживачу — токен се никада не шаље ни на један сервер. Међутим, ЈВТ-ови су акредитиви — не делите их јавно (на снимцима екрана, објавама за преливање стека, итд.) јер они могу одобрити приступ вашим налозима.
Да ли овај алат проверава ЈВТ потпис?: Овај алат декодира и приказује садржај токена. Верификација потписа захтева тајни кључ (ХМАЦ) или јавни кључ (РСА/ЕЦДСА), који треба да остане на вашем серверу. Алат показује коришћени алгоритам, али не може да провери без кључа.
Шта значе стандардне ЈВТ тврдње?: исс = издавач, суб = субјект (ИД корисника), екп = време истека (Уник временска ознака), иат = издато у, нбф = не пре, ауд = публика, јти = ЈВТ ИД. Прилагођени захтеви могу да садрже било које податке специфичне за апликацију.
Зашто ико може декодирати ЈВТ?: ЈВТ-ови су кодирани, а не шифровани. Корисно оптерећење је кодирано Басе64УРЛ (није шифровано), тако да свако може да га прочита. Потпис спречава манипулисање, а не читање. Никада немојте чувати осетљиве податке (лозинке, ССН-ове) у ЈВТ корисним подацима.
Зашто неким токенима недостаје потпис?: Токени са алг: ниједан немају потпис. Они су важећи ЈВТ-ови по спецификацији, али не дају гаранције за аутентичност и не би требало да буду прихваћени у производњи.
Да ли су ЈВТ шифровани?: Стандардни ЈВТ корисни терети су потписани, али нису шифровани. ЈВЕ (ЈСОН Веб Енцриптион, РФЦ 7516) је посебан формат за шифроване токене. Већина ЈВТ-ова у дивљини су ЈВС (само потписани).
Да ли је мој токен учитан на сервер?: Не. Декодирање се дешава у вашем претраживачу; токен не напушта ваш уређај.
Колико су ЈВТ обично дуги?: Било где од неколико стотина до неколико хиљада знакова. Дужина зависи од броја и величине захтева плус дужина потписа (која зависи од алгоритма).

ЈВТ Токен Декодер

Povezani alati

УРЛ Енцодер / Децодер

Басе64 Енцодер / Децодер

ЈСОН Форматер & Валидатор

КСМЛ Форматтер & Валидатор

О овом алату

Зашто декодирати ЈВТ-ове

Како користити

Уобичајени случајеви употребе

Тецхницал Детаилс

Најбоље праксе

Често постављана питања

Related Articles

Essential Developer Tools: JSON, Base64, RegEx, and More

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk