พาร์เซอร์ JSON Web Token และเครื่องมือดีบัก
การดีโคดและตรวจสอบโทเคน JWT นั้นง่ายดาย:
JWT ดีโคดเดอร์เป็นเครื่องมือที่จำเป็นสำหรับหลายสถานการณ์ในการพัฒนาและดีบัก:
เมื่อพัฒนาหรือดีบัก REST API ด้วยการตรวจสอบสิทธิ์ JWT ให้ดีโคดโทเคนอย่างรวดเร็วเพื่อตรวจสอบการอ้างสิทธิ์ บทบาท และการอนุญาต ระบุปัญหากับการหมดอายุของโทเคนหรือการอ้างสิทธิ์ที่ไม่ถูกต้องได้ทันที
ตรวจสอบโทเคน JWT สำหรับช่องโหว่ด้านความปลอดภัย ตรวจสอบอัลกอริทึมลายเซ็น (ตรวจสอบว่าไม่ใช่ 'none') ตรวจสอบเวลาความถูกต้อง ตรวจสอบข้อมูลที่ละเอียดอ่อนในเพย์โหลด
เมื่อผสานรวมกับ OAuth 2.0, OpenID Connect หรือบริการอื่นๆ ที่ใช้ JWT ให้ดีโคดโทเคนอย่างรวดเร็วเพื่อเข้าใจโครงสร้างและกำหนดค่าการผสานรวมของคุณ
ระหว่างการพัฒนาส่วนหน้า ให้ดีโคดโทเคน JWT เพื่อทดสอบบทบาทผู้ใช้ การอนุญาต และสถานการณ์ต่างๆ โดยไม่ต้องแก้ไขส่วนหลัง
เมื่อแก้ไขปัญหาในการผลิต ให้วิเคราะห์โทเคน JWT อย่างรวดเร็วจากบันทึกหรือคำขอเครือข่ายเพื่อระบุปัญหาการตรวจสอบสิทธิ์
JSON Web Token (JWT) เป็นมาตรฐานเปิด (RFC 7519) สำหรับการส่งข้อมูลอย่างปลอดภัยระหว่างฝ่ายต่างๆ เป็นวัตถุ JSON โทเคนได้รับการลงลายเซ็นดิจิทัล ดังนั้นข้อมูลจึงสามารถตรวจสอบและเชื่อถือได้
JWT ประกอบด้วยสามส่วนที่แยกด้วยจุด: Header.Payload.Signature ส่วนหัวประกอบด้วยประเภทของโทเคนและอัลกอริทึมลายเซ็น เพย์โหลดประกอบด้วยการอ้างสิทธิ์เกี่ยวกับเอนทิตี ลายเซ็นรับประกันว่าโทเคนไม่ได้รับการแก้ไข
JWT กะทัดรัด ปลอดภัย และพึ่งพาตนเอง เหมาะสำหรับการตรวจสอบสิทธิ์และการแลกเปลี่ยนข้อมูลในระบบแบบกระจาย ใช้กันอย่างแพร่หลายใน REST API ไมโครเซอร์วิส การเข้าสู่ระบบครั้งเดียว (SSO) และแอปพลิเคชันมือถือ
แม้ว่า JWT จะได้รับการลงลายเซ็น แต่เพย์โหลดจะถูกเข้ารหัส Base64URL เท่านั้น ไม่ได้เข้ารหัส อย่าเก็บข้อมูลที่ละเอียดอ่อนเช่นรหัสผ่านใน JWT ใช้อัลกอริทึมลายเซ็นที่แข็งแกร่งเสมอ (RS256, ES256) และไม่ใช้ 'none' ตั้งเวลาหมดอายุที่เหมาะสม
ใช่ ปลอดภัยอย่างสมบูรณ์ การประมวลผลทั้งหมดเกิดขึ้นในเบราว์เซอร์ของคุณ JWT โทเคนของคุณจะไม่ออกจากอุปกรณ์ของคุณและไม่ถูกส่งไปยังเซิร์ฟเวอร์ใดๆ เราไม่รวบรวม ไม่บันทึก หรือจัดเก็บโทเคนของคุณ
ไม่ได้ เครื่องมือนี้ดีโคดและพาร์สโทเคน JWT แต่ไม่ตรวจสอบลายเซ็น สำหรับการตรวจสอบลายเซ็น คุณต้องใช้คีย์ลับหรือคีย์สาธารณะซึ่งไม่ควรแบ่งปันออนไลน์ เครื่องมือนี้แสดงอัลกอริทึมลายเซ็นและลายเซ็นดิบสำหรับการตรวจสอบของคุณ
เครื่องมือดีโคดส่วนหัว (header) และเพย์โหลด (payload/claims) จากโทเคน JWT ของคุณ ทั้งสองส่วนเป็นวัตถุ JSON ที่เข้ารหัส Base64URL ส่วนลายเซ็น (signature) แสดงในรูปแบบดิบเพราะไม่มีข้อมูลที่ดีโคดได้โดยไม่มีคีย์ลับ
โทเคน JWT โดยปกติจะมีการอ้างสิทธิ์ 'exp' (เวลาหมดอายุ) ที่ระบุว่าโทเคนจะหมดอายุเมื่อใด หากเวลาปัจจุบันหลังจากเวลาหมดอายุนี้ โทเคนจะไม่ถูกต้องอีกต่อไปและไม่ควรได้รับการยอมรับจากระบบ
ได้! OAuth 2.0 มักใช้ JWT สำหรับโทเคนการเข้าถึงและโทเคน ID (โดยเฉพาะกับ OpenID Connect) หากโทเคน OAuth ของคุณเป็น JWT คุณสามารถดีโคดด้วยเครื่องมือนี้ได้ โทเคนทึบแสง (opaque) ไม่สามารถดีโคดได้
'Bearer' เป็นรูปแบบการตรวจสอบสิทธิ์ที่ใช้ในส่วนหัว Authorization ของ HTTP เครื่องมือของเราจะลบคำนำหน้า 'Bearer ' โดยอัตโนมัติหากมี คุณสามารถวางโทเคนโดยมีหรือไม่มีก็ได้
เหล่านี้เป็นการอ้างสิทธิ์ JWT มาตรฐานที่ลงทะเบียน 'iat' = ออกเมื่อ (เวลาออก), 'exp' = เวลาหมดอายุ, 'sub' = หัวเรื่อง (โดยปกติคือ ID ผู้ใช้), 'iss' = ผู้ออก, 'aud' = ผู้ชม แอปพลิเคชันสามารถเพิ่มการอ้างสิทธิ์ที่กำหนดเองได้
ไม่ได้ เครื่องมือนี้เพียงแค่สำหรับดีโคดและดูโทเคน JWT การแก้ไข JWT และการลงลายเซ็นใหม่จะต้องใช้คีย์ลับของคุณซึ่งไม่ควรใช้ในเครื่องมือออนไลน์ ใช้ไลบรารีในสภาพแวดล้อมการพัฒนาของคุณสำหรับการสร้างและลงลายเซ็นโทเคน
Encode and decode Base64
Format and validate JSON data for easy reading
Decode JWT tokens
Generate MD5 hash (not recommended for security)
Generate SHA-256 hash (recommended for password storage)