JWT'mi buraya yapıştırmak güvenli mi?

Evet. Kod çözme tamamen tarayıcınızda gerçekleşir; jeton hiçbir zaman herhangi bir sunucuya gönderilmez. Ancak JWT'ler kimlik bilgileridir; hesaplarınıza erişim sağlayabileceklerinden bunları herkese açık olarak paylaşmayın (ekran görüntülerinde, Yığın Taşması gönderilerinde vb.).

Bu araç JWT imzasını doğruluyor mu?

Bu araç, jeton içeriğini çözer ve görüntüler. İmza doğrulaması, sunucunuzda kalması gereken gizli anahtarı (HMAC) veya genel anahtarı (RSA/ECDSA) gerektirir. Araç, kullanılan algoritmayı gösterir ancak anahtar olmadan doğrulayamaz.

Standart JWT iddiaları ne anlama geliyor?

iss = veren, sub = konu (kullanıcı kimliği), exp = son kullanma süresi (Unix zaman damgası), iat = yayınlandığı tarih, nbf = daha önce değil, aud = hedef kitle, jti = JWT kimliği. Özel talepler uygulamaya özel herhangi bir veriyi içerebilir.

Neden herkes bir JWT'nin kodunu çözebilir?

JWT'ler şifrelenmez, kodlanır. Yük Base64URL ile kodlanmıştır (şifrelenmemiştir), dolayısıyla herkes okuyabilir. İmza, okumayı değil kurcalamayı önler. Hassas verileri (şifreler, SSN'ler) asla JWT veri yüklerinde saklamayın.

Neden bazı belirteçlerin imzası eksik?

Alg'li jetonlar: hiçbirinin imzası yoktur. Spesifikasyona göre geçerli JWT'lerdir ancak orijinallik garantisi vermezler ve üretimde kabul edilmemelidirler.

JWT'ler şifrelenmiş mi?

Standart JWT verileri imzalanır ancak şifrelenmez. JWE (JSON Web Şifreleme, RFC 7516), şifrelenmiş belirteçler için ayrı bir formattır. Doğadaki JWT'lerin çoğu JWS'dir (yalnızca imzalıdır).

Jetonum bir sunucuya yüklendi mi?

Hayır. Kod çözme tarayıcınızda gerçekleşir; jeton cihazınızdan ayrılmaz.

JWT'ler genellikle ne kadar sürer?

Birkaç yüzden birkaç bin karaktere kadar herhangi bir yer. Uzunluk, taleplerin sayısına ve boyutuna ek olarak imza uzunluğuna (algoritmaya bağlıdır) bağlıdır.

JWT Tokenı Kod çözücü

Bu araç hakkında

JSON Web Belirteçleri (JWT), RFC 7519 tarafından tanımlanan, iki taraf arasında taleplerin iletilmesine yönelik kompakt, URL açısından güvenli bir formattır. JWT, noktalarla ayrılmış base64url kodlu üç bölümdür: başlık (algoritma ve belirteç türü), yük (talepler) ve imza (gerçekliğin kriptografik kanıtı). Başlık ve yük, URL güvenliği için base64url kodlu JSON'dur; imza, kodlanmış başlık ve veri yükü üzerinde çeşitli algoritmalardan (HS256, RS256, ES256 ve diğerleri) birini kullanır.

Bir JWT'nin kodunun çözülmesi (bölümlere ayrılması ve her birinin base64 kodunun çözülmesi) herhangi bir sır gerektirmez. Belirteç metnine sahip olan herkes başlığını ve yükünü okuyabilir. Ancak imza yalnızca gizli (HMAC) veya genel anahtarla (asimetrik) doğrulanabilir. Kod çözme inceleme amaçlıdır; Doğrulama, özgünlüğü kanıtlayan şeydir.

Bu kod çözücü, jetonu böler, her segmentin base64 kodunu çözer, başlığı ve yükü JSON olarak ayrıştırır ve sonucu gösterir. İmza doğrulama girişiminde bulunmaz çünkü bu, kod çözücünün sahip olmadığı gizli veya genel anahtarı gerektirir. Kodu çözülmüş çıktı salt okunur incelemedir; belirteçlerdeki hataları ayıklamak için kullanışlıdır ancak uygulama kodunda doğru doğrulamanın yerine geçmez.

Neden JWT'lerin Kodunu Çözme

Kimlik doğrulama sorunlarının hata ayıklaması neredeyse her zaman belirteçlerin incelenmesini içerir. Kodda geçerli görünen bir jetonun yanlış iddiaları, beklenmeyen bir algoritması, süresi dolmuş bir deneyim zaman damgası veya hedef kitle uyumsuzluğu olabilir. Tokenın kodunun çözülmesi, ihraççının tam olarak ne ürettiğini ortaya çıkarır.

Entegrasyon çalışması sırasında belirteçlerin incelenmesi de yardımcı olur. Üçüncü taraf bir API'ye veya kimlik sağlayıcısına bağlanırken, gerçek talep adları, biçimleri ve yapısı, güncelliğini yitirmiş olabilecek belgelere dayanmak yerine örnek belirteçlerin kodunun çözülmesiyle en iyi şekilde anlaşılır.

Nasıl kullanılır

Belirteci yapıştırın, ayrıştırılan içeriği alın.

JWT'nizi yapıştırın: Tam jetonu (header.payload.signature) giriş alanına bırakın. Kod çözücü, isteğe bağlı Taşıyıcı öneki olan veya olmayan belirteçleri kabul eder.
Başlığı inceleyin: Başlık, imzalama algoritmasını (alg) ve belirteç türünü (typ) gösterir. Yaygın algoritmalar HS256, RS256 ve ES256'dır. İmzasız bir tokena işaret eden ve üretimde nadiren güvenli olan alg: none'a dikkat edin.
Yükü inceleyin: Yük, şu talepleri içerir: iss (veren), sub (konu), aud (hedef kitle), exp (son kullanma tarihi), iat (verilme tarihi) ve uygulamaya özel talepler. Standart zaman damgaları Unix dönem saniyeleridir.
Ayrı olarak doğrulayın: Kod çözücü imzayı doğrulamaz. Orijinalliği kontrol etmek için belirteci, uygulama kodunuzdaki uygun gizli veya genel anahtarla bir JWT kitaplığı aracılığıyla çalıştırın.

Yaygın Kullanım Durumları

Süresi dolmuş jeton hatalarında hata ayıklama — Tokenın kodunun çözülmesi exp iddiasını ortaya çıkarır. Gerçek nedenin son kullanma tarihi olup olmadığını doğrulamak için geçerli saati karşılaştırın.
Üçüncü taraf bir belirtecin talep yapısını anlama — Kimlik sağlayıcıları (Auth0, Okta, Cognito), sağlayıcıya özel talep düzenleriyle belirteçler yayınlar. Örnek belirteçlerin kodunun çözülmesi gerçek yapıyı gösterir.
Entegrasyon sırasında belirteçleri denetleme — SSO veya OAuth akışlarını entegre ederken, her adımda belirteçlerin kodunun çözülmesi, verilerin beklendiği gibi şekillendirildiğini doğrulamaya yardımcı olur.
Hassas veriler için belirteç içeriklerinin denetlenmesi — Belirteçler varsayılan olarak şifrelenmez; yük okunabilir. Mevcut belirteçlerin kodunun çözülmesi, hassas verilerin kazara dahil edilmediğinin doğrulanmasına yardımcı olur.
Hedef kitle ve ihraççı taleplerini doğrulama — Belirteç karışıklığına karşı savunma, doğru denetim ve iss yönetimini gerektirir. Test sırasında belirteçlerin kodunun çözülmesi, bu iddiaların doğru şekilde doldurulduğunu doğrular.

Teknik Detaylar

JWT formatı noktalarla birleştirilen üç parçadan oluşur. Her bölüm base64url kodludur - base64'ün URL güvenli çeşidi olup, + ve / yerine - ve _ karakterlerini kullanır, dolgu bazen atlanır. Kod çözme, URL güvenli değişikliklerin geri alınmasını, segmentin doldurulmasını ve base64 kod çözmeyi gerektirir.

Başlık ve yük, kod çözüldükten sonra JSON'dur. İmza bölümü ikilidir (ham imza baytları) ve insan tarafından okunamaz; yararlı olması için doğrulama anahtarının kullanılmasını gerektirir.

RFC 7519'da tanımlanan ortak talepler: iss (verici), sub (konu tanımlayıcı), aud (hedef kitle), exp (Unix dönemi saniyesi olarak sona erme), nbf (zaman damgasından önce değil), iat (zaman damgasında yayınlanmış), jti (benzersiz belirteç kimliği). Uygulamaya özel talepler herhangi bir adla görünebilir.

En İyi Uygulamalar

Doğrulanmamış bir JWT'ye asla güvenmeyin — Kod çözme yalnızca içeriği ortaya çıkarır; gerçekliği kanıtlamaz. Taleplere güvenmeden önce daima uygulama kodundaki doğru anahtarla imzayı doğrulayın.
Alg'e dikkat edin: yok — Alg'li jetonlar: hiçbirinin imzası yoktur. Bunları kabul eden uygulama kodu sahteciliğe karşı savunmasızdır. Doğrulama yapılandırmanızda her zaman belirli bir algoritmayı zorunlu tutun.
Yüklerdeki hassas verilere karşı dikkatli olun — JWT yükleri, tokena sahip olan herkes tarafından okunabilir. Gizli olması gereken veriler içeriyorsa veriyi şifreleyin (JWE kullanın).
İşlemeden önce exp'yi doğrulayın — İmza geçerli olsa bile süresi dolmuş bir jeton reddedilmelidir. JWT kütüphaneleri genellikle exp'yi otomatik olarak kontrol eder; kitaplığınızın bunu yaptığını doğrulayın.

Sık sorulan sorular

JWT'mi buraya yapıştırmak güvenli mi?: Evet. Kod çözme tamamen tarayıcınızda gerçekleşir; jeton hiçbir zaman herhangi bir sunucuya gönderilmez. Ancak JWT'ler kimlik bilgileridir; hesaplarınıza erişim sağlayabileceklerinden bunları herkese açık olarak paylaşmayın (ekran görüntülerinde, Yığın Taşması gönderilerinde vb.).
Bu araç JWT imzasını doğruluyor mu?: Bu araç, jeton içeriğini çözer ve görüntüler. İmza doğrulaması, sunucunuzda kalması gereken gizli anahtarı (HMAC) veya genel anahtarı (RSA/ECDSA) gerektirir. Araç, kullanılan algoritmayı gösterir ancak anahtar olmadan doğrulayamaz.
Standart JWT iddiaları ne anlama geliyor?: iss = veren, sub = konu (kullanıcı kimliği), exp = son kullanma süresi (Unix zaman damgası), iat = yayınlandığı tarih, nbf = daha önce değil, aud = hedef kitle, jti = JWT kimliği. Özel talepler uygulamaya özel herhangi bir veriyi içerebilir.
Neden herkes bir JWT'nin kodunu çözebilir?: JWT'ler şifrelenmez, kodlanır. Yük Base64URL ile kodlanmıştır (şifrelenmemiştir), dolayısıyla herkes okuyabilir. İmza, okumayı değil kurcalamayı önler. Hassas verileri (şifreler, SSN'ler) asla JWT veri yüklerinde saklamayın.
Neden bazı belirteçlerin imzası eksik?: Alg'li jetonlar: hiçbirinin imzası yoktur. Spesifikasyona göre geçerli JWT'lerdir ancak orijinallik garantisi vermezler ve üretimde kabul edilmemelidirler.
JWT'ler şifrelenmiş mi?: Standart JWT verileri imzalanır ancak şifrelenmez. JWE (JSON Web Şifreleme, RFC 7516), şifrelenmiş belirteçler için ayrı bir formattır. Doğadaki JWT'lerin çoğu JWS'dir (yalnızca imzalıdır).
Jetonum bir sunucuya yüklendi mi?: Hayır. Kod çözme tarayıcınızda gerçekleşir; jeton cihazınızdan ayrılmaz.
JWT'ler genellikle ne kadar sürer?: Birkaç yüzden birkaç bin karaktere kadar herhangi bir yer. Uzunluk, taleplerin sayısına ve boyutuna ek olarak imza uzunluğuna (algoritmaya bağlıdır) bağlıdır.

JWT Tokenı Kod çözücü

İlgili Araçlar

URL Kodlayıcı / Kod çözücü

Base64 Kodlayıcı / Kod çözücü

JSON Biçimlendirici & Doğrulayıcı

XML Biçimlendirici & Doğrulayıcı

Bu araç hakkında

Neden JWT'lerin Kodunu Çözme

Nasıl kullanılır

Yaygın Kullanım Durumları

Teknik Detaylar

En İyi Uygulamalar

Sık sorulan sorular

Related Articles

Essential Developer Tools: JSON, Base64, RegEx, and More

Hashing, Encryption, and Encoding Explained: A Developer's Security Guide

Spreadsheet & Data Conversion Guide: Excel, CSV, JSON, and More

Why Browser-Based Tools Are the Future: No Installs, No Uploads, No Risk