JWT Çözücü

JWT, kimlik doğrulama ve bilgi alışverişi için kullanılan kompakt, URL güvenli bir token formatıdır. Noktalarla ayrılmış üç Base64URL kodlu bölümden oluşur: Header (algoritma ve tür), Payload (kullanıcı kimliği, süre sonu gibi claim'ler) ve İmza (kriptografik doğrulama). JWT'ler OAuth 2.0, OpenID Connect ve API kimlik doğrulamasında yaygın olarak kullanılır.

Hayır. Bu araç, imzayı doğrulamadan token içeriğini (Header ve Payload) çözer ve inceler. İmza doğrulaması, bir tarayıcı aracında paylaşılmaması gereken gizli anahtarı veya genel anahtarı gerektirir. Bu aracı yalnızca hata ayıklama ve inceleme için kullanın — asla yalnızca çözülmüş içeriğe dayanarak bir JWT'ye güvenmeyin.

Token inceleme için tarayıcınızda çözülür ve Coda One çözme sırasında yüklemez. Yine de güvenlik politikanız izin vermedikçe üretim sırlarını herhangi bir tarayıcı oturumuna yapıştırmaktan kaçının.

Standart claim'ler şunları içerir: "iss" (yayıncı — token'ı kim oluşturdu), "sub" (konu — token kimin hakkında), "aud" (hedef kitle — amaçlanan alıcı), "exp" (süre sonu), "nbf" (öncesi değil — token bu zamandan önce geçerli değil), "iat" (yayınlanma zamanı — ne zaman oluşturuldu) ve "jti" (JWT kimliği — token için benzersiz tanımlayıcı). Tüm zaman claim'leri Unix timestamp'tir.

Yaygın nedenler: token geçerli bir JWT değil (noktalarla ayrılmış tam olarak 3 bölüm olmalı), Base64URL kodlaması bozuk (ör.: fazla boşluklar veya eksik karakterler) veya Header/Payload geçerli JSON değil. Token'ın tamamını kesinti veya fazla boşluk olmadan kopyaladığınızdan emin olun.

JWT üç renk kodlu bölüme ayrılır: Header (pembe/kırmızı) algoritma ve token türü gibi meta veriler içerir; Payload (mor) claim'leri içerir — gerçek veriler; ve İmza (mavi) token'ın değiştirilmediğini doğrulamak için kullanılan kriptografik hash.

Evet. Arayüz tamamen duyarlıdır. Panodan JWT yapıştırabilir, Çöz'e dokunabilir ve herhangi bir telefon veya tablette üç bölümü inceleyebilirsiniz.

jwt.io da tarayıcıda JWT'leri çözer. Bu araç otomatik süre sonu doğrulaması, doğrulama uyarıları (zayıf algoritmalar, eksik claim'ler, uzun süreler), claim açıklamaları ve kompakt/biçimlendirilmiş geçişi ekler — hepsi sunucuya veri göndermeden.

Evet. OAuth access token'ları ve OIDC ID token'ları genellikle JWT'dir. Scope'ları, hedef kitleyi, yayıncıyı, süre sonunu ve diğer claim'leri incelemek için buraya yapıştırın. Bu, API kimlik doğrulama sorunlarını ayıklamak veya geliştirme sırasında token içeriklerini doğrulamak için kullanışlıdır.

alg: "none" olan bir JWT kriptografik imzaya sahip değildir, yani herkes payload'ı değiştirerek token'ı sahteleyebilir. Bu bilinen bir güvenlik açığıdır. Meşru JWT'ler her zaman HS256, RS256 veya ES256 gibi bir imza algoritması kullanmalıdır.

Evet. Bir JWT'yi şu şekilde çözebilirsiniz: echo "TOKEN" | cut -d. -f2 | base64 -d | jq . — ancak bu jq gerektirir ve URL güvenli Base64 padding'i işlemez. Bu araç tüm bunları otomatik olarak yapar artı süre sonu kontrolleri ve uyarılar.

<a href="/base64-encode-decode">Base64 Kodlayıcı</a> token ile ilgili kodlamaya yardımcı olur. <a href="/json-formatter">JSON Formatlayıcı</a> API yanıtlarını incelemek için kullanışlıdır. <a href="/hash-generator">Hash Oluşturucu</a> gizli anahtarınız olduğunda HMAC imzalarını doğrulayabilir.