TextArray
100% helyi

JWT dekódoló

Dekódolj egy JSON Web Tokent, és olvasd el a fejlécét és tartalmát — aláírás-ellenőrzés nélkül.

Bemenet
Kimenet

JWT dekódoló

Illessz be egy JSON Web Tokent, és a dekódoló pontok mentén részekre bontja, a fejlécet és a tartalmat Base64URL-ből dekódolja, majd mindkettőt olvasható JSON-ként formázza. Jól jön bejelentkezési folyamatok hibakereséséhez, OAuth- és OpenID Connect-szolgáltatók access és ID tokenjeinek vizsgálatához, annak ellenőrzéséhez, milyen claimeket ad ki valójában a backend, vagy amikor azt keresed, miért jön vissza folyton 401 egy kérésre.

A token megnyitásának leggyakoribb oka az időclaimek ellenőrzése. Bekapcsolt dátumopcióval a dekódoló az exp (lejárat), iat (kiállítás) és nbf (érvényesség kezdete) értékeket ISO 8601 időbélyegként is kiírja, így egy pillantással látod, lejárt-e már a token, vagy még nem érvényes. A kimenet alatti összegzés a fejlécben szereplő aláírási algoritmust és a tartalom claimjeinek számát mutatja.

Egy dolgot ez az eszköz szándékosan nem tesz: nem ellenőrzi az aláírást. Az ellenőrzéshez az aláíró titok vagy a kibocsátó nyilvános kulcsa kell, márpedig egy weboldalba beillesztett titok kiszivárgott titok. A dekódoló a token tartalmát mutatja meg, az aláírást pedig mindig nem ellenőrzöttként jelöli — minden dekódolt tokent kezelj hitelesítetlen adatként.

A dekódolás teljes egészében a böngésződben fut; a token nem hagyja el az eszközödet, és semmi nem kerül szerverre. Itt ez különösen számít, mert még egy rövid életű teszttoken is hozzáférést ad valamihez. A több sorba tördelt tokeneket és a Bearer előtaggal másolt értékeket a dekódolás előtt automatikusan megtisztítja.

Gyakori kérdések

Ellenőrzi az eszköz az aláírást?
Nem. Az ellenőrzéshez az aláíró titok vagy a kibocsátó nyilvános kulcsa szükséges, ezek pedig soha nem valók weboldalba. A dekódoló a fejlécet és a tartalmat mutatja meg, az aláírást mindig nem ellenőrzöttként jelöli.
Feltöltődik valahová a tokenem?
Nem. A dekódolás kizárólag a böngésződben fut, és a token soha nem hagyja el az eszközödet. Képernyőképek megosztásához azért inkább lejárt vagy teszttokent használj.
Miért puszta számok az exp és az iat?
A JWT időclaimjei Unix-időbélyegek — az 1970. január 1. UTC óta eltelt másodpercek. Hagyd bekapcsolva a dátumopciót, és a dekódoló ISO 8601 dátumként is kiírja őket.
Milyen tokeneket tud dekódolni?
Kompakt JWS tokeneket két vagy három, pontokkal elválasztott résszel, beleértve az aláíratlan alg none tokeneket és a Bearer előtaggal másolt értékeket. A titkosított JWE tokenek (öt rész) kulcs nélkül nem dekódolhatók.