فك تشفير JWT - فك تشفير والتحقق من رموز JWT في متصفحك

// فك تشفير رموز JWT دون إرسال البيانات إلى خادم

يعمل من جانب العميل فقط — بياناتك لا تغادر المتصفح أبداً
إدخال الرمز
أسقط ملف JWT أو النص هنا

كيفية فك تشفير رموز JWT

1

الصق رمز JWT الخاص بك

انسخ رمز JSON Web Token والصقه في حقل الإدخال. يقوم فك تشفير JWT بتحليل وفك تشفير الرمز المشفر بـ Base64URL تلقائياً وفوراً.

2

عرض المطالبات المفككة

افحص رأس وحمولة JWT المفككة. اعرض المطالبات مثل iss و sub و exp و iat بتنسيق JSON أو جدول مع طوابع زمنية قابلة للقراءة.

3

التحقق من توقيع JWT

أدخل مفتاحك السري أو المفتاح العام للتحقق من توقيع الرمز. يدعم خوارزميات HS256 و HS384 و HS512 (HMAC) للتحقق من التوقيع.

ما هو رمز JSON Web Token (JWT)؟

الرأس . الحمولة . التوقيع

رمز JSON Web Token (JWT) هو معيار مفتوح (RFC 7519) لنقل المعلومات بشكل آمن بين الأطراف ككائن JSON مضغوط وآمن لعناوين URL. تُستخدم رموز JWT عادةً لـ المصادقة والتفويض وتبادل المعلومات في تطبيقات الويب الحديثة وواجهات برمجة التطبيقات وأنظمة تسجيل الدخول الموحد (SSO).

الرأس

يحتوي على نوع الرمز وخوارزمية التوقيع (مثل HS256، RS256، ES256).

{"alg": "HS256", "typ": "JWT"}

الحمولة

يحتوي على المطالبات: المسجلة (iss، exp، sub)، العامة، والخاصة.

{"sub": "user123", "exp": 1699999999}

التوقيع

توقيع تشفيري يتحقق من عدم التلاعب بالرمز.

HMACSHA256(base64(header).base64(payload), secret)

حالات استخدام JWT الشائعة

مصادقة API

رموز JWT هي المعيار لتأمين واجهات REST APIs. بعد تسجيل الدخول، يصدر الخادم رمز JWT يضمنه العميل في رأس Authorization: Bearer للطلبات اللاحقة.

تسجيل الدخول الموحد (SSO)

تمكّن رموز JWT المصادقة السلسة عبر تطبيقات متعددة. تسجيل دخول واحد ينشئ رمزاً يعمل عبر جميع الخدمات المتصلة في مؤسستك.

تبادل المعلومات

نقل البيانات بشكل آمن بين الأطراف. يضمن التوقيع هوية المرسل وأن الرسالة لم تُعدَّل أثناء النقل.

مصادقة تطبيقات الجوال

مصادقة بدون حالة مثالية لتطبيقات الجوال. لا حاجة لجلسات من جانب الخادم—يحتوي رمز JWT على جميع معلومات المستخدم الضرورية.

الأسئلة الشائعة

هل فك تشفير JWT هذا آمن للاستخدام مع رموز الإنتاج؟

نعم، فك تشفير JWT هذا آمن تماماً. كل عمليات فك التشفير والتحقق تحدث بالكامل في متصفحك باستخدام JavaScript. لا يتم إرسال رموزك ومفاتيحك السرية إلى أي خادم أبداً. يمكنك التحقق من ذلك بفحص طلبات الشبكة في أدوات المطور في متصفحك—لا تغادر أي بيانات جهازك.

ما الفرق بين فك التشفير والتحقق من JWT؟

فك التشفير يحول ببساطة الرأس والحمولة المشفرة بـ Base64URL إلى JSON قابل للقراءة. يمكن لأي شخص فك تشفير JWT بدون مفتاح. التحقق يفحص التوقيع التشفيري للتأكد من عدم التلاعب بالرمز وأنه صادر من مصدر موثوق. يتطلب التحقق المفتاح السري (لـ HMAC) أو المفتاح العام (لـ RSA/ECDSA).

ما خوارزميات توقيع JWT المدعومة؟

يمكن لهذه الأداة فك تشفير رموز JWT الموقعة بأي خوارزمية. للتحقق من التوقيع، ندعم حالياً خوارزميات HMAC (HS256، HS384، HS512) باستخدام Web Crypto API. دعم التحقق من RSA (RS256، RS384، RS512) و ECDSA (ES256، ES384، ES512) مخطط له.

لماذا يفشل التحقق من توقيع JWT الخاص بي؟

الأسباب الشائعة تشمل: 1) مفتاح سري خاطئ—تأكد من استخدام نفس المفتاح الذي وقّع الرمز بالضبط. 2) تنسيق خاطئ—جرب التبديل بين UTF-8 و Base64 إذا كان سرك مشفراً بـ Base64. 3) عدم تطابق الخوارزمية—تحقق من أن مطالبة alg في الرأس تتطابق مع طريقة التحقق الخاصة بك. 4) تم تعديل الرمز—أي تغيير في الرأس أو الحمولة يبطل التوقيع.

ماذا تعني مطالبات JWT القياسية؟

المطالبات المسجلة المحددة في RFC 7519:

  • iss (المُصدر) – من أصدر الرمز
  • sub (الموضوع) – المستخدم أو الكيان الذي يمثله الرمز
  • aud (الجمهور) – المستلم المقصود للرمز
  • exp (انتهاء الصلاحية) – طابع زمني Unix لوقت انتهاء صلاحية الرمز
  • nbf (ليس قبل) – الرمز غير صالح قبل هذا الوقت
  • iat (صدر في) – متى تم إنشاء الرمز
  • jti (معرف JWT) – معرف فريد للرمز