מפענח ומאמת JWT

פענחו כותרות ומטענים של JSON Web Token באופן מקומי, בדקו claims רשומים, ואמתו חתימות HS, RS, PS ו-ES בעזרת סוד, מפתח ציבורי PEM,‏ JWK או JWKS.

Token
הדביקו JWT קומפקטי. הכותרת והמטען מפוענחים מקומית לפני שמתבצעת בדיקת חתימה כלשהי.
אימות חתימה
אמתו את חתימת JWS בעזרת סוד משותף, מפתח ציבורי PEM,‏ JWK או JWKS.
auto

Auto משתמש בערך alg מכותרת ה-JWT. בחירה ידנית עדיין חייבת להתאים לכותרת.

השתמשו בטקסט רגיל עבור אלגוריתמי HS. השתמשו במפתח ציבורי PEM,‏ JWK או JWKS עבור אלגוריתמי RS, PS ו-ES. הערכים אינם נשמרים.

Header
JSON מעוצב שפוענח ממקטע ה-token.
Payload
JSON מעוצב שפוענח ממקטע ה-token.
Claims רשומים
בדיקות מהירות ל-claims נפוצים מבוססי זמן ב-JWT.
  • יפוג בתאריך 2030-01-01T00:00:00.000Z.תקין

מהו מפענח ומאמת JWT?

JSON Web Token הוא מחרוזת קומפקטית עם שלושה מקטעי base64url: כותרת, מטען וחתימה. הכלי הזה מפענח את הכותרת והמטען בדפדפן שלכם, כך שתוכלו לבדוק את מבנה ה-token בלי לשלוח אותו לשרת.

אימות חתימה בודק אם ה-token נחתם בעזרת המפתח והאלגוריתם שאתם מצפים להם. השתמשו בסוד משותף עבור tokens מסוג HS256, HS384 או HS512. השתמשו במפתח ציבורי PEM,‏ JWK או JWKS עבור tokens מסוג RS, PS ו-ES.

מתי להשתמש בו

השתמשו במפענח בעת ניפוי תהליכי אימות, בדיקת claims של OAuth או OpenID Connect, השוואת סביבות, או אישור שמערכת backend מנפיקה את ערכי הקהל, המנפיק, הנושא, התפוגה ומזהה המפתח הצפויים.

השתמשו באימות כשיש לכם את הסוד או המפתח הציבורי התואם ועליכם לוודא שהכותרת, המטען והחתימה עדיין שייכים יחד. הכלי גם מדגיש את exp,‏ nbf ו-iat, כך שבעיות נפוצות של שעון ותפוגה נראות מיד.

הערות אבטחה

מטעני JWT מקודדים בלבד, לא מוצפנים. כל מי שמחזיק ב-token יכול לקרוא את ה-claims שלו, אלא אם ה-token הוא JWE מוצפן נפרד, שהכלי הזה אינו מעבד.

אל תדביקו tokens של סביבת ייצור או סודות פרטיים במחשבים משותפים. הכלי פועל מקומית בדפדפן שלכם ואינו שומר את ה-token או את חומר האימות, אבל תהליך העבודה הבטוח ביותר הוא עדיין להשתמש ב-tokens קצרי חיים לבדיקה ובמפתחות ציבוריים בכל פעם שאפשר.