重點摘要
- 01解碼任何JWT並在一個貼上中檢查標頭、裝載和標準宣稱。
- 02exp、nbf和iat宣稱會轉換為人類可讀時間戳,並帶有有效/過期標籤。
- 03解碼純本地—在調試時安全地貼上真實生產令牌。
- 04解碼器不驗證簽名—這必須在伺服器端使用發行人的金鑰進行。
為什麼您需要JWT解碼器
JSON Web令牌看起來像隨機雜訊,直到您知道它們是由點分隔的三個Base64URL編碼區段。第一個區段是標頭(演算法和令牌類型)、第二個是裝載(宣稱:用戶ID、角色、過期)、第三個是簽名。在調試認證問題、過期會話或破裂OAuth整合時,您需要做的第一件事就是讀取裝載。
手動執行這個操作意味著在點上分割、解碼Base64URL和轉換Unix時間戳為可讀日期。Handytool的JWT解碼器自動執行所有操作,並在時間宣稱上添加有效性標籤,因此您可以一目了然地查看令牌是否仍然有效。
如何解碼JWT令牌
- 01
複製JWT
從您的瀏覽器DevTools(應用程式>Cookies,或Network面板授權標頭)、記錄檔或API用戶端獲取令牌。
- 02
將其貼到解碼器中
將完整令牌—包括所有三個由點分隔的區段—貼到輸入方塊中。解碼器自動識別區段。
- 03
讀取標頭和裝載
該工具分割令牌並漂亮列印標頭(演算法、類型)和裝載(所有宣稱)為格式化JSON。
- 04
檢查時間宣稱
exp(過期)、nbf(不在之前)和iat(發行於)Unix時間戳會轉換為ISO日期。解碼器根據您目前本地時間將exp標籤為綠色(有效)或紅色(過期)。
標準JWT宣稱已解釋
這些已註冊宣稱名稱出現在大多數JWT中。
- 01iss(發行人)—識別誰建立令牌,通常是URL或服務名稱。
- 02sub(主體)—令牌代表的主體,通常是用戶ID。
- 03aud(對象)—令牌的預期收件人;您的伺服器應拒絕為他人提供的令牌。
- 04exp(過期)—Unix時間戳,在此之後必須拒絕令牌。
- 05nbf(不在之前)—Unix時間戳,在此之前必須拒絕令牌。
- 06iat(發行於)—令牌鑄造時的Unix時間戳;對偵測陳舊令牌很有用。
調試時安全地貼上真實令牌
JWT解碼完全在您的瀏覽器中使用原生atob函數和JSON.parse進行。沒有資料傳輸到任何伺服器—您的令牌在記憶體中解碼並在本地顯示。您可以安全地貼上來自開發或暫存環境的真實存取令牌和會話令牌以調試認證流程。
也就是說,將JWT視為密碼。它們在其全部生命週期內授予對您系統的存取權限。除非您確信工具的隱私保證,否則不要將高特權帳戶的生產令牌貼到任何工具中—並且如果您認為令牌可能已被曝光,始終輪換令牌。
JWT解碼器常見問題
什麼是JWT?
JSON Web令牌是一個緊湊、URL安全的格式,由三個Base64URL區段(標頭、裝載、簽名)組成,由點分隔。JWT攜帶宣稱—關於用戶或會話的主張—並用於認證、授權和API存取。
此解碼器是否驗證JWT簽名?
否。解碼器僅剖析標頭和裝載。簽名驗證需要發行人的機密或公開金鑰,必須在您的應用程式代碼中使用受信任的程式庫進行。
將真實存取令牌貼在這裡是否安全?
解碼完全是本地的—令牌永遠不會被傳輸。但是,JWT授予真實存取權限,所以將它們視為密碼。不要分享它們、不要將它們提交到原始碼控制,如果它們可能已被曝光,則輪換它們。
exp宣稱是什麼意思?
exp是過期時間戳—表示令牌停止有效時刻的Unix整數。解碼器將其轉換為人類可讀ISO日期,並根據您目前本地時間將其標記為有效或過期。
為什麼JWT裝載在沒有金鑰的情況下可見?
JWT裝載是Base64URL編碼的,不是加密的。它們旨在可讀—簽名只證明真實性,而不是機密性。除非您使用JSON Web Encryption(JWE),否則不要將真正的機密資料放在JWT裝載中。
解碼器是免費的嗎?
是的。Handytool免費,無須註冊、無速率限制和無資料收集。