ตัวถอดรหัสและตรวจสอบ JWT

ถอดรหัสส่วนหัวและเพย์โหลดของ JSON Web Token ในเครื่อง ตรวจดู registered claims และตรวจสอบลายเซ็น HS, RS, PS และ ES ด้วย secret, PEM public key, JWK หรือ JWKS

โทเค็น
วาง JWT แบบ compact ส่วนหัวและเพย์โหลดจะถูกถอดรหัสในเครื่องก่อนเริ่มตรวจสอบลายเซ็น
การตรวจสอบลายเซ็น
ตรวจสอบลายเซ็น JWS ด้วย shared secret, PEM public key, JWK หรือ JWKS
auto

อัตโนมัติจะใช้ค่า alg จากส่วนหัว JWT การเลือกด้วยตนเองยังต้องตรงกับส่วนหัว

ใช้ข้อความธรรมดาสำหรับอัลกอริทึม HS ใช้ PEM public key, JWK หรือ JWKS สำหรับอัลกอริทึม RS, PS และ ES ค่าจะไม่ถูกบันทึก

ส่วนหัว
JSON แบบจัดรูปแบบสวยงามที่ถอดรหัสจากส่วนของโทเค็น
เพย์โหลด
JSON แบบจัดรูปแบบสวยงามที่ถอดรหัสจากส่วนของโทเค็น
Registered claims
ตรวจสอบ JWT claims ตามเวลาที่พบบ่อยอย่างรวดเร็ว
  • หมดอายุเมื่อ 2030-01-01T00:00:00.000Zถูกต้อง

What is a JWT decoder and verifier?

JSON Web Token คือสตริงแบบ compact ที่มีสามส่วนแบบ base64url ได้แก่ ส่วนหัว เพย์โหลด และลายเซ็น เครื่องมือนี้ถอดรหัสส่วนหัวและเพย์โหลดในเบราว์เซอร์ของคุณ เพื่อให้คุณตรวจดูโครงสร้างของโทเค็นได้โดยไม่ต้องส่งไปยังเซิร์ฟเวอร์

การตรวจสอบลายเซ็นจะตรวจว่าโทเค็นถูกลงนามด้วยคีย์และอัลกอริทึมที่คุณคาดไว้หรือไม่ ใช้ shared secret สำหรับโทเค็น HS256, HS384 หรือ HS512 ใช้ PEM public key, JWK หรือ JWKS สำหรับโทเค็น RS, PS และ ES

When to use it

ใช้ตัวถอดรหัสเมื่อดีบักขั้นตอน authentication, ตรวจสอบ claims ของ OAuth หรือ OpenID Connect, เปรียบเทียบสภาพแวดล้อม หรือยืนยันว่า backend ออกค่า audience, issuer, subject, expiration และ key identifier ตามที่คาดไว้

ใช้การตรวจสอบเมื่อคุณมี secret หรือ public key ที่ตรงกัน และต้องยืนยันว่าส่วนหัว เพย์โหลด และลายเซ็นยังเป็นของกันและกัน เครื่องมือนี้ยังเน้น exp, nbf และ iat เพื่อให้เห็นปัญหานาฬิกาและการหมดอายุที่พบบ่อยได้ทันที

Security notes

เพย์โหลดของ JWT เป็นเพียงการเข้ารหัส ไม่ใช่การเข้ารหัสลับ ใครก็ตามที่มีโทเค็นสามารถอ่าน claims ได้ เว้นแต่โทเค็นนั้นจะเป็น JWE ที่เข้ารหัสลับแยกต่างหาก ซึ่งเครื่องมือนี้ไม่ได้ประมวลผล

อย่าวางโทเค็น production หรือ private secrets บนเครื่องที่ใช้ร่วมกัน เครื่องมือนี้ทำงานในเครื่องภายในเบราว์เซอร์ของคุณและไม่จัดเก็บโทเค็นหรือข้อมูลสำหรับตรวจสอบ แต่วิธีที่ปลอดภัยที่สุดยังคงเป็นการใช้โทเค็นทดสอบอายุสั้นและ public keys ทุกครั้งที่เป็นไปได้