מנתח JSON Web Token וכלי ניפוי באגים
פענוח ואימות טוקן JWT הוא פשוט:
מפענח JWT הוא כלי חיוני לתרחישי פיתוח וניפוי באגים רבים:
בפיתוח או ניפוי באגים של REST API עם אימות JWT, פענח טוקנים במהירות לבדיקת תביעות, תפקידים והרשאות. זהה באופן מיידי בעיות עם תפוגת טוקן או תביעות שגויות.
בקר טוקני JWT לפגיעויות אבטחה. בדוק אלגוריתמי חתימה (וודא שזה לא 'none'), אמת זמן תקפות, בדוק מידע רגיש במטען.
בעת אינטגרציה עם OAuth 2.0, OpenID Connect או שירותים אחרים המשתמשים ב-JWT, פענח טוקנים במהירות להבנת המבנה שלהם והגדרת האינטגרציה שלך.
במהלך פיתוח front-end, פענח טוקני JWT לבדיקת תפקידי משתמש, הרשאות ותרחישים שונים ללא צורך בשינוי back-end.
בפתרון בעיות בייצור, נתח במהירות טוקני JWT מלוגים או בקשות רשת לזיהוי בעיות אימות.
JSON Web Token (JWT) הוא תקן פתוח (RFC 7519) להעברה מאובטחת של מידע בין צדדים כאובייקט JSON. הטוקנים חתומים דיגיטלית, כך שניתן לאמת ולסמוך על המידע.
JWT מורכב משלושה חלקים מופרדים בנקודות: Header.Payload.Signature. הכותרת מכילה את סוג הטוקן ואלגוריתם החתימה. המטען מכיל תביעות על הישות. החתימה מבטיחה שהטוקן לא שונה.
JWT הם קומפקטיים, מאובטחים ועצמאיים. מושלמים לאימות וחילופי מידע במערכות מבוזרות. נמצאים בשימוש נרחב ב-REST API, מיקרו-שירותים, כניסה יחידה (SSO) ויישומים ניידים.
למרות ש-JWT חתומים, המטען מקודד רק ב-Base64URL, לא מוצפן. לעולם אל תאחסן מידע רגיש כמו סיסמאות ב-JWT. השתמש תמיד באלגוריתמי חתימה חזקים (RS256, ES256) ולעולם לא 'none'. הגדר זמני תפוגה סבירים.
כן, בטוח לחלוטין. כל העיבוד מתבצע מקומית בדפדפן שלך. טוקן JWT שלך לעולם לא עוזב את המכשיר שלך ולא נשלח לשום שרת. אנחנו לא אוספים, לא רושמים ולא מאחסנים את הטוקנים שלך.
לא, כלי זה מפענח ומנתח טוקני JWT אבל לא מאמת חתימות. לאימות חתימה אתה צריך את המפתח הסודי או המפתח הציבורי שלא צריך לשתף אונליין. כלי זה מציג את אלגוריתם החתימה והחתימה הגולמית לבדיקה שלך.
הכלי מפענח את הכותרת (header) והמטען (payload/claims) מטוקן JWT שלך. שני החלקים הם אובייקטי JSON מקודדי Base64URL. חלק החתימה (signature) מוצג בפורמט גולמי כי הוא לא מכיל מידע שניתן לפענח ללא המפתח הסודי.
טוקני JWT בדרך כלל מכילים תביעת 'exp' (זמן תפוגה) שמציינת מתי הטוקן פג תוקף. אם הזמן הנוכחי הוא אחרי זמן התפוגה הזה, הטוקן כבר לא תקף ולא צריך להתקבל על ידי מערכות.
כן! OAuth 2.0 משתמש לעתים קרובות ב-JWT לטוקני גישה וטוקני ID (במיוחד עם OpenID Connect). אם טוקן OAuth שלך הוא JWT, אתה יכול לפענח אותו עם הכלי הזה. טוקנים אטומים (opaque) לא ניתנים לפענוח.
'Bearer' היא סכמת האימות המשמשת בכותרת Authorization של HTTP. הכלי שלנו מסיר אוטומטית את קידומת 'Bearer ' אם היא קיימת. אתה יכול להדביק את הטוקן עם או בלעדיה.
אלו הן תביעות JWT רשומות סטנדרטיות. 'iat' = issued at (זמן הנפקה), 'exp' = expiration time (זמן תפוגה), 'sub' = subject (נושא - בדרך כלל מזהה משתמש), 'iss' = issuer (מנפיק), 'aud' = audience (קהל יעד). יישומים יכולים להוסיף תביעות מותאמות אישית.
לא, הכלי הזה הוא רק לפענוח והצגת טוקני JWT. עריכת JWT וחתימה מחדש שלו תדרוש את המפתח הסודי שלך שלעולם לא צריך להשתמש בו בכלי אונליין. השתמש בספריות בסביבת הפיתוח שלך ליצירה וחתימה של טוקנים.
Encode and decode Base64
Format and validate JSON data for easy reading
Decode JWT tokens
Generate MD5 hash (not recommended for security)
Generate SHA-256 hash (recommended for password storage)