Dekoder i weryfikator JWT

Dekoduj lokalnie nagłówki i treść JSON Web Token, sprawdzaj zarejestrowane roszczenia oraz weryfikuj podpisy HS, RS, PS i ES za pomocą sekretu, klucza publicznego PEM, JWK lub JWKS.

Token
Wklej kompaktowy JWT. Nagłówek i treść są dekodowane lokalnie przed uruchomieniem jakiejkolwiek kontroli podpisu.
Weryfikacja podpisu
Zweryfikuj podpis JWS za pomocą współdzielonego sekretu, klucza publicznego PEM, JWK lub JWKS.
auto

Tryb automatyczny używa wartości alg z nagłówka JWT. Wybór ręczny nadal musi pasować do nagłówka.

Użyj zwykłego tekstu dla algorytmów HS. Użyj klucza publicznego PEM, JWK lub JWKS dla algorytmów RS, PS i ES. Wartości nie są zapisywane.

Nagłówek
Sformatowany JSON zdekodowany z segmentu tokenu.
Treść
Sformatowany JSON zdekodowany z segmentu tokenu.
Zarejestrowane roszczenia
Szybkie kontrole typowych roszczeń JWT opartych na czasie.
  • Wygasa o 2030-01-01T00:00:00.000Z.Prawidłowe

Czym jest dekoder i weryfikator JWT?

JSON Web Token to kompaktowy ciąg z trzema segmentami base64url: nagłówkiem, treścią i podpisem. To narzędzie dekoduje nagłówek i treść w przeglądarce, dzięki czemu możesz sprawdzić strukturę tokenu bez wysyłania go na serwer.

Weryfikacja podpisu sprawdza, czy token został podpisany kluczem i algorytmem, których oczekujesz. Użyj współdzielonego sekretu dla tokenów HS256, HS384 lub HS512. Użyj klucza publicznego PEM, JWK lub JWKS dla tokenów RS, PS i ES.

Kiedy go używać

Użyj dekodera podczas debugowania przepływów uwierzytelniania, sprawdzania roszczeń OAuth lub OpenID Connect, porównywania środowisk albo potwierdzania, że backend wystawia oczekiwane wartości odbiorcy, wystawcy, podmiotu, wygaśnięcia i identyfikatora klucza.

Użyj weryfikacji, gdy masz pasujący sekret lub klucz publiczny i musisz potwierdzić, że nagłówek, treść i podpis nadal należą do siebie. Narzędzie wyróżnia też exp, nbf i iat, aby typowe problemy z zegarem i wygaśnięciem były od razu widoczne.

Uwagi dotyczące bezpieczeństwa

Treści JWT są tylko kodowane, a nie szyfrowane. Każdy, kto ma token, może odczytać jego roszczenia, chyba że token jest osobnym zaszyfrowanym JWE, którego to narzędzie nie przetwarza.

Nie wklejaj tokenów produkcyjnych ani prywatnych sekretów na współdzielonych komputerach. Narzędzie działa lokalnie w przeglądarce i nie przechowuje tokenu ani materiału weryfikacyjnego, ale najbezpieczniejszy przepływ pracy nadal polega na używaniu krótkotrwałych tokenów testowych i kluczy publicznych zawsze, gdy to możliwe.