הנקודות החשובות
- 01פענוח כל JWT וגרע כותרת, עומס, וקלימים סטנדרטיים בדקיקה אחת.
- 02קלימי exp, nbf, ו-iat מומירים לtimestamps קריאים לאדם עם תגי valid/expired.
- 03פענוח הוא חופשי מקומי - בטוח להדביק אסימוני ייצור אמיתיים בזמן debug.
- 04פענוח לא מאמת חתימות - זה חייב להתרחש צד שרת עם מפתח של ה-issuer.
מדוע אתה צריך JWT Decoder
JSON Web Tokens נראים כמו רעש אקראי עד שאתה יודע שהם שלוש קטעים קודדים ב-Base64URL מופרדים על ידי נקודות. הקטע הראשון הוא כותרת (אלגוריתם וסוג אסימון), השני הוא עומס (קלימים: משתמש ID, תפקידים, expiry), והשלישי הוא חתימה. כאשר debugging בעיה אימות, הפעלה שעלונה, או OAuth שבור integration, הדבר הראשון שאתה צריך לעשות הוא קרא את העומס.
עושה זאת ביד אומר פיצול בנקודות, פענוח Base64URL, ואז המרת Unix timestamps לתאריכים קריאים. JWT decoder של Handytool עושה את כל זה באופן אוטומטי ומוסיף תגי תקף על קלימי עיתוי כדי שתוכל לראות בהצצה אם אסימון עדיין פעיל.
כיצד לפענוח אסימון JWT
- 01
העתק את ה-JWT
תפוס את האסימון מ-DevTools של הדפדפן שלך (Application > Cookies, או ה-Network panel Authorization header), מקובץ יומן, או מלקוח API שלך.
- 02
הדבק אותו לתוך פענוח
הדבק את הtoken המלא - כולל כל שלוש הקטעים מופרדים על ידי נקודות - לתוך תיבת הקלט. פענוח מזהה את הקטעים באופן אוטומטי.
- 03
קרא את הכותרת והעומס
הכלי מפצל את האסימון ודיו-הדפס את כותרת (אלגוריתם, סוג) ועומס (כל קלימים) כ-JSON מתואם.
- 04
בדוק את קלימי העיתוי
ה-exp (expiry), nbf (not-before), ו-iat (issued-at) Unix timestamps מומירים לתאריכי ISO. פענוח מתגי exp כירוק (תקף) או אדום (תוקף) יחסית לזמן המקומי הנוכחי שלך.
קלימים JWT סטנדרטיים מוסברים
שמות קלים רשומים אלו מופיעים ברוב JWTs.
- 01iss (Issuer) - מזהה מי יצר את האסימון, בדרך כלל כתובת URL או שם שירות.
- 02sub (Subject) - הקרן ש-token מייצג, בדרך כלל משתמש ID.
- 03aud (Audience) - recipient(s) בכוונה של האסימון; השרת שלך צריך לדחות אסימוני שנועדו לאחרים.
- 04exp (Expiration) - Unix timestamp לאחר אשר אסימון חייב להיות דחוי.
- 05nbf (Not Before) - Unix timestamp לפני אשר אסימון חייב להיות דחוי.
- 06iat (Issued At) - Unix timestamp כאשר האסימון זהבה minted; שימושי לגילוי ישנים אסימונים.
בטוח להדביק Tokens אמיתיים בזמן Debug
JWT פענוח קורה כולו בדפדפן שלך באמצעות atob native ו-JSON.parse. שום דבר לא משדר לשום שרת - האסימון שלך מפוענח בזיכרון ומוצג מקומית. אתה יכול בבטחה להדביק אסימוני גישה אמיתיים ואסימוני הפעלה מסביבות פיתוח או ステージING כדי debug זרמי אימות.
זה אמר, התייחס JWTs כמו סיסמאות. הם מעניקים גישה לשיטות שלך עבור חייהם המלאים. אל תדביק אסימוני ייצור מחשבונות בעלי סמכות גבוהה לתוך כלי כלשהו אלא אם כן אתה בטוח שדעות הכלי פרטיות - ותמיד סיבוב אסימון אם אתה סבור זה עשוי להיות חשוף.
שאלות נפוצות על JWT Decoder
מה זה JWT?
JSON Web Token היא פורמט קומפקטי בטוח-URL המורכבת משלוש קטעי Base64URL (כותרת, עומס, חתימה) מופרדים על ידי נקודות. JWTs נושאים קלימים - טענות על משתמש או הפעלה - ומשמשות לאימות, הרשאה, וגישת API.
האם פענוח זה מאמת חתימת JWT?
לא. פענוח רק פרסם כותרת ועומס. אימות חתימה דורש מפתח סודי או ציבורי של ה-issuer ויש להתרחש בקוד היישום שלך באמצעות ספרייה מהימנה.
האם בטוח להדביק אסימון גישה אמיתי כאן?
פענוח חופשי לחלוטין מקומי - האסימון לעולם לא משדר. אולם JWTs מעניקים גישה אמיתית, כך שתייחס אותם כמו סיסמאות. אל תשתף אותם, אל תהתחייב אותם לשליטה מקור, וסיבוב אותם אם עלולים להיות חשופים.
מה ה-exp claim אומר?
exp הוא ה-expiration timestamp - Unix מספר שלם המייצג את הרגע באסימון מפסיק להיות תקף. פענוח ממיר אותו לתאריך ISO קריא לאדם וסימון אותו תקף או פג תוקף יחסית לזמן המקומי הנוכחי שלך.
מדוע ה-JWT payload גלוי ללא מפתח?
JWT payloads הם Base64URL-קודדים, לא הצפנה. הם מעוצבים להיות קריאים - החתימה רק מוכיחה אותנטיות, לא חיסיוניות. לעולם אל תשים נתונים אמיתית סודיים בטעינה JWT אלא אם משתמש ב-JSON Web Encryption (JWE).
האם פענוח חופשי?
כן. Handytool חופשי ללא הרשמה, ללא מגבלות שיעור, וללא אסף נתונים.