מהו מפענח ומאמת JWT?
JSON Web Token הוא מחרוזת קומפקטית עם שלושה מקטעי base64url: כותרת, מטען וחתימה. הכלי הזה מפענח את הכותרת והמטען בדפדפן שלכם, כך שתוכלו לבדוק את מבנה ה-token בלי לשלוח אותו לשרת.
אימות חתימה בודק אם ה-token נחתם בעזרת המפתח והאלגוריתם שאתם מצפים להם. השתמשו בסוד משותף עבור tokens מסוג HS256, HS384 או HS512. השתמשו במפתח ציבורי PEM, JWK או JWKS עבור tokens מסוג RS, PS ו-ES.
מתי להשתמש בו
השתמשו במפענח בעת ניפוי תהליכי אימות, בדיקת claims של OAuth או OpenID Connect, השוואת סביבות, או אישור שמערכת backend מנפיקה את ערכי הקהל, המנפיק, הנושא, התפוגה ומזהה המפתח הצפויים.
השתמשו באימות כשיש לכם את הסוד או המפתח הציבורי התואם ועליכם לוודא שהכותרת, המטען והחתימה עדיין שייכים יחד. הכלי גם מדגיש את exp, nbf ו-iat, כך שבעיות נפוצות של שעון ותפוגה נראות מיד.
הערות אבטחה
מטעני JWT מקודדים בלבד, לא מוצפנים. כל מי שמחזיק ב-token יכול לקרוא את ה-claims שלו, אלא אם ה-token הוא JWE מוצפן נפרד, שהכלי הזה אינו מעבד.
אל תדביקו tokens של סביבת ייצור או סודות פרטיים במחשבים משותפים. הכלי פועל מקומית בדפדפן שלכם ואינו שומר את ה-token או את חומר האימות, אבל תהליך העבודה הבטוח ביותר הוא עדיין להשתמש ב-tokens קצרי חיים לבדיקה ובמפתחות ציבוריים בכל פעם שאפשר.